A senha flui em texto simples quando o usuário faz login em todos os módulos do APIM
Depois de fazer o login, verifique os dados do formulário na guia Cabeçalho, a senha está sendo exibida em texto simples
Embora de acordo com o OWASP A3-Sensitive Data Exposure, a senha não pode viajar em formato de texto simples e deve ser evitada seguindo
Por favor, analise e ajude, pois esta é a principal preocupação e podemos incluí-la na versão final do 3.1. Será muito apreciado.
Todas as versões do APIM
@ ashishpilania18 Não vejo nenhum problema aqui. A guia Rede do navegador deve mostrar os valores de texto simples do formulário que você está enviando. Se você estiver usando https
formulário
@praminda
Entendi, mas de acordo com as diretrizes de segurança do OWASP, ele deve ser criptografado antes de enviar por https no lado do cliente. Portanto, no lado do cliente também ninguém pode ver a senha.
Ainda tenho minhas preocupações sobre como um terceiro pode explorar isso. De qualquer forma, como este é um problema relacionado à segurança, você pode relatar esse problema de acordo com a política de segurança do projeto em https://github.com/wso2/product-apim/security/policy
@praminda
Por exemplo, coloquei um farejador na sua rede e enquanto você está logando estou farejando todos os pacotes que você está enviando. Portanto, antes que o pacote chegue ao https da sua rede http, terei sua senha e o que tornará o sistema completo vulnerável
Por favor, dê uma olhada nisso
Olá @ ashishpilania18 ,
Não, isso não é possível com Como funciona o HTTPS , farejar no meio significa que você deve ter a chave privada do servidor API Manager, não é?
@tmkasun
Por motivos de segurança, colocamos seu aplicativo em WAF, e devido a isso, pode-se facilmente visualizar a senha em WAF. Portanto, para evitar isso, exigimos hash de senha em TLS. Por favor, ajude e sugira qualquer método para implementar isso em nosso meio.
@tmkasun
Por favor ajude a este respeito e sugira qualquer mudança que possamos fazer e fazer acontecer
Comentários muito úteis
@ ashishpilania18 Não vejo nenhum problema aqui. A guia Rede do navegador deve mostrar os valores de texto simples do formulário que você está enviando. Se você estiver usando
https
formulário