安全扫描工具返回“无法确定服务器是否使用2FA”

Last update: Thu Oct 10 2024 00:00:00 GMT+0000 (Coordinated Universal Time)

检查Magento_TwoFactorAuth模块是否已禁用。通常，要通过检查，应该启用它。

描述 description

环境

Adobe Commerce、所有版本和所有实施(包括Magento Open Source)

问题

安全扫描工具报告它“无法确定您的服务器是否使用2FA”。

解决方法 resolution

在检查前端2FA时，安全扫描工具期望以下某个端点使用HTTP 200、401或403响应代码响应：

'rest/default/V1/tfa/provider/authy/activate',
'rest/default/V1/tfa/provider/duo_security/activate',
'rest/default/V1/tfa/provider/google/activate',
'rest/default/V1/tfa/provider/u2fkey/activate',
'rest/default/V1/tfa/forced-providers',
'rest/default/V1/msp-2fa/installed-providers',
'rest/default/V1/msp-2fa/forced-providers',
'rest/V1/tfa/provider/authy/activate',
'rest/V1/tfa/provider/duo_security/activate',
'rest/V1/tfa/provider/google/activate',
'rest/V1/tfa/provider/u2fkey/activate',
'rest/V1/tfa/forced-providers',
'rest/V1/msp-2fa/installed-providers',
'rest/V1/msp-2fa/forced-providers',
'rest/all/schema?services=twoFactorAuthAdminTokenServiceV1'

一般来说，Magento_TwoFactorAuth应该启用，但是：

还有其他第三方模块启用2FA功能并引入其他端点，它们可能不在上述列表中。此处的解决方案是联系Adobe支持部门，告知我们有关新URI（统一资源标识符）的信息。
某些WAF（Web应用程序防火墙）可能会阻止对这些端点的请求，因此它们必须检查我们的IP地址是否未被阻止。

如果您已启用第三方2FA模块，请联系安全扫描工具团队(securityscan@magento.com)。

原因

已禁用Magento_TwoFactorAuth模块（或其他2FA模块），并且安全扫描工具无法访问与该模块关联的端点。

安全扫描工具返回“无法确定服务器是否使用2FA”

描述 description

环境

问题

解决方法 resolution

原因

相关阅读