Пароль отображается в виде обычного текста при входе пользователя во все модули APIM.
После входа в систему проверьте данные формы на вкладке «Заголовок». Пароль отображается в виде обычного текста.
Хотя согласно OWASP A3-Sensitive Data Exposure, пароль не может передаваться в текстовом формате, и его следует предотвратить, выполнив следующие действия.
Пожалуйста, изучите его и помогите, поскольку это основная проблема, и можем ли мы включить это в окончательную версию 3.1. Это будет высоко оценено.
Все версии APIM
@ ashishpilania18 Я не вижу здесь проблемы. Вкладка Browser Network должна показывать вам простые текстовые значения формы, которую вы отправляете. Если вы используете https
форма
@praminda
Я понимаю, но согласно рекомендациям по безопасности OWASP, он должен быть зашифрован перед отправкой по https на стороне клиента, поэтому на стороне клиента также никто не может видеть пароль.
У меня все еще есть опасения по поводу того, как третья сторона может этим воспользоваться. В любом случае, поскольку это проблема, связанная с безопасностью, можете ли вы сообщить об этой проблеме в соответствии с политикой безопасности проекта по адресу https://github.com/wso2/product-apim/security/policy.
@praminda
Например, я установил один сниффер в вашу сеть, и пока вы входите в систему, я обнюхиваю все ваши пакеты, которые вы отправляете. Поэтому, прежде чем пакет достигнет https из вашей http-сети, у меня будет ваш пароль, и это сделает всю систему уязвимой.
Пожалуйста, взгляни на это
Привет @ ashishpilania18!
Нет, это невозможно с Как работает HTTPS , обнюхивание в середине означает, что у вас должен быть закрытый ключ сервера API Manager, не так ли?
@tmkasun
По соображениям безопасности мы поместили ваше приложение в WAF, и благодаря этому можно легко просматривать пароль через WAF. Чтобы избежать этого, мы потребовали хеширования паролей через TLS. Пожалуйста, помогите и предложите любой способ реализовать это с нашей стороны.
@tmkasun
Пожалуйста, помогите в этом отношении и предложите любые изменения, которые мы можем сделать с нашей стороны и сделать это
Самый полезный комментарий
@ ashishpilania18 Я не вижу здесь проблемы. Вкладка Browser Network должна показывать вам простые текстовые значения формы, которую вы отправляете. Если вы используете
https
форма