安全性掃描工具傳回「無法判斷您的伺服器是否使用2FA」

Last update: Thu Oct 10 2024 00:00:00 GMT+0000 (Coordinated Universal Time)

檢查Magento_TwoFactorAuth模組是否已停用。若要通過檢查，通常應該啟用。

說明 description

環境

Adobe Commerce，所有版本和所有實施(包括Magento Open Source)

問題

「安全性掃描工具」報告它「無法判斷您的伺服器是否使用2FA」。

解決方法 resolution

檢查前端2FA時，安全性掃描工具預期下列其中一個端點會以HTTP 200、401或403回應代碼回應：

'rest/default/V1/tfa/provider/authy/activate',
'rest/default/V1/tfa/provider/duo_security/activate',
'rest/default/V1/tfa/provider/google/activate',
'rest/default/V1/tfa/provider/u2fkey/activate',
'rest/default/V1/tfa/forced-providers',
'rest/default/V1/msp-2fa/installed-providers',
'rest/default/V1/msp-2fa/forced-providers',
'rest/V1/tfa/provider/authy/activate',
'rest/V1/tfa/provider/duo_security/activate',
'rest/V1/tfa/provider/google/activate',
'rest/V1/tfa/provider/u2fkey/activate',
'rest/V1/tfa/forced-providers',
'rest/V1/msp-2fa/installed-providers',
'rest/V1/msp-2fa/forced-providers',
'rest/all/schema?services=twoFactorAuthAdminTokenServiceV1'

一般來說，Magento_TwoFactorAuth應該啟用，但是：

還有其他協力廠商模組可啟用2FA功能並引進其他端點，因此可能不在上述清單中。此處的解決方案是聯絡Adobe支援，告知我們有關新URI （統一資源識別碼）的資訊。
有些WAF （Web應用程式防火牆）可能會封鎖對這些端點的請求，因此他們必須檢查我們的IP位址是否未被封鎖。

如果您已啟用協力廠商2FA模組，請連絡安全性掃描工具小組(securityscan@magento.com)。

原因

Magento_TwoFactorAuth模組（或其他2FA模組）已停用，安全性掃描工具無法存取與模組相關聯的端點。

安全性掃描工具傳回「無法判斷您的伺服器是否使用2FA」

說明 description

環境

問題

解決方法 resolution

原因

相關閱讀