Product-apim: Пароль отображается в виде обычного текста при входе в APIM
Описание:
Пароль отображается в виде обычного текста при входе пользователя во все модули APIM.
Действия по воспроизведению:
- Войдите в https: // localhost : 9443 / publisher, включив режим проверки в браузере.
После входа в систему проверьте данные формы на вкладке «Заголовок». Пароль отображается в виде обычного текста.
Хотя согласно OWASP A3-Sensitive Data Exposure, пароль не может передаваться в текстовом формате, и его следует предотвратить, выполнив следующие действия.
- Шифруйте все передаваемые данные с помощью безопасных протоколов, таких как TLS с шифрами с идеальной прямой секретностью (PFS), приоритизацией шифра сервером и безопасными параметрами. Обеспечьте шифрование с помощью таких директив, как HTTP Strict Transport Security (HSTS).
- Отключите кеширование для ответов, содержащих конфиденциальные данные.
- Храните пароли, используя сильные адаптивные и соленые функции хеширования с рабочим фактором (фактором задержки), например Argon2, scrypt, bcrypt или PBKDF2.
Пожалуйста, изучите его и помогите, поскольку это основная проблема, и можем ли мы включить это в окончательную версию 3.1. Это будет высоко оценено.
Затронутая версия продукта:
Все версии APIM
Детали окружения (с версиями):
- ОС: Окно 10
ashishpilania18
Все 7 Комментарий
@ ashishpilania18 Я не вижу здесь проблемы. Вкладка Browser Network должна показывать вам простые текстовые значения формы, которую вы отправляете. Если вы используете https форма
praminda
11 мар. 2020
@praminda
Я понимаю, но согласно рекомендациям по безопасности OWASP, он должен быть зашифрован перед отправкой по https на стороне клиента, поэтому на стороне клиента также никто не может видеть пароль.
ashishpilania18
11 мар. 2020
У меня все еще есть опасения по поводу того, как третья сторона может этим воспользоваться. В любом случае, поскольку это проблема, связанная с безопасностью, можете ли вы сообщить об этой проблеме в соответствии с политикой безопасности проекта по адресу https://github.com/wso2/product-apim/security/policy.
praminda
11 мар. 2020
@praminda
Например, я установил один сниффер в вашу сеть, и пока вы входите в систему, я обнюхиваю все ваши пакеты, которые вы отправляете. Поэтому, прежде чем пакет достигнет https из вашей http-сети, у меня будет ваш пароль, и это сделает всю систему уязвимой.
Пожалуйста, взгляни на это
ashishpilania18
11 мар. 2020
Привет @ ashishpilania18!
Нет, это невозможно с Как работает HTTPS , обнюхивание в середине означает, что у вас должен быть закрытый ключ сервера API Manager, не так ли?
tmkasun
13 мар. 2020
@tmkasun
По соображениям безопасности мы поместили ваше приложение в WAF, и благодаря этому можно легко просматривать пароль через WAF. Чтобы избежать этого, мы потребовали хеширования паролей через TLS. Пожалуйста, помогите и предложите любой способ реализовать это с нашей стороны.
ashishpilania18
13 мар. 2020
@tmkasun
Пожалуйста, помогите в этом отношении и предложите любые изменения, которые мы можем сделать с нашей стороны и сделать это
ashishpilania18
19 мар. 2020
Смежные вопросы
HiranyaKavishani
·
5Комментарии
isharac
·
11Комментарии
molinab297-unisys
·
6Комментарии
amir-dh
·
39Комментарии
YannickB
·
25Комментарии
Самый полезный комментарий
@ ashishpilania18 Я не вижу здесь проблемы. Вкладка Browser Network должна показывать вам простые текстовые значения формы, которую вы отправляете. Если вы используете
httpsформа