Product-apim: A senha está fluindo em texto simples durante o login no APIM

Criado em 11 mar. 2020  ·  7Comentários  ·  Fonte: wso2/product-apim

Descrição:


A senha flui em texto simples quando o usuário faz login em todos os módulos do APIM

Passos para reproduzir:

  1. Faça login em https: // localhost : 9443 / publisher enquanto ativa o modo de inspeção no navegador

Depois de fazer o login, verifique os dados do formulário na guia Cabeçalho, a senha está sendo exibida em texto simples

image

Embora de acordo com o OWASP A3-Sensitive Data Exposure, a senha não pode viajar em formato de texto simples e deve ser evitada seguindo

  1. Criptografe todos os dados em trânsito com protocolos seguros, como TLS com cifras de sigilo de encaminhamento perfeito (PFS), priorização de cifras pelo servidor e parâmetros seguros. Aplique a criptografia usando diretivas como HTTP Strict Transport Security (HSTS).
  2. Desative o armazenamento em cache para respostas que contenham dados confidenciais.
  3. Armazene as senhas usando funções de hashing adaptáveis ​​e salgadas fortes com um fator de trabalho (fator de atraso), como Argon2, scrypt, bcrypt ou PBKDF2.

Por favor, analise e ajude, pois esta é a principal preocupação e podemos incluí-la na versão final do 3.1. Será muito apreciado.

Versão do produto afetado:


Todas as versões do APIM

Detalhes do ambiente (com versões):

  • SO: Janela 10
PrioritNormal TypBug
Fonte
picture ashishpilania18

Comentários muito úteis

@ ashishpilania18 Não vejo nenhum problema aqui. A guia Rede do navegador deve mostrar os valores de texto simples do formulário que você está enviando. Se você estiver usando https formulário

picture praminda em 11 mar. 2020
👍4 👎1

Todos 7 comentários

@ ashishpilania18 Não vejo nenhum problema aqui. A guia Rede do navegador deve mostrar os valores de texto simples do formulário que você está enviando. Se você estiver usando https formulário

praminda picture praminda em 11 mar. 2020
👍4 👎1

@praminda
Entendi, mas de acordo com as diretrizes de segurança do OWASP, ele deve ser criptografado antes de enviar por https no lado do cliente. Portanto, no lado do cliente também ninguém pode ver a senha.

ashishpilania18 picture ashishpilania18 em 11 mar. 2020

Ainda tenho minhas preocupações sobre como um terceiro pode explorar isso. De qualquer forma, como este é um problema relacionado à segurança, você pode relatar esse problema de acordo com a política de segurança do projeto em https://github.com/wso2/product-apim/security/policy

praminda picture praminda em 11 mar. 2020

@praminda
Por exemplo, coloquei um farejador na sua rede e enquanto você está logando estou farejando todos os pacotes que você está enviando. Portanto, antes que o pacote chegue ao https da sua rede http, terei sua senha e o que tornará o sistema completo vulnerável
Por favor, dê uma olhada nisso

ashishpilania18 picture ashishpilania18 em 11 mar. 2020

Olá @ ashishpilania18 ,

Não, isso não é possível com Como funciona o HTTPS , farejar no meio significa que você deve ter a chave privada do servidor API Manager, não é?

tmkasun picture tmkasun em 13 mar. 2020

@tmkasun

Por motivos de segurança, colocamos seu aplicativo em WAF, e devido a isso, pode-se facilmente visualizar a senha em WAF. Portanto, para evitar isso, exigimos hash de senha em TLS. Por favor, ajude e sugira qualquer método para implementar isso em nosso meio.

ashishpilania18 picture ashishpilania18 em 13 mar. 2020

@tmkasun

Por favor ajude a este respeito e sugira qualquer mudança que possamos fazer e fazer acontecer

ashishpilania18 picture ashishpilania18 em 19 mar. 2020
Esta página foi útil?
0 / 5 - 0 avaliações

Questões relacionadas

YannickB picture YannickB  ·  25Comentários
TomasTokaMrazek picture TomasTokaMrazek  ·  10Comentários
kharsha64 picture kharsha64  ·  8Comentários
ruks picture ruks  ·  11Comentários
amir-dh picture amir-dh  ·  39Comentários