I log WAF mostrano password in chiaro e login in un'intestazione POST inviata tramite HTTPS

Question

I log WAF mostrano password in chiaro e login in un'intestazione POST inviata tramite HTTPS

#1 da (1 voti)

5

Scenario

Stavo monitorando alcuni eventi dal nostro firewall per applicazioni web (WAF), Imperva SecureSphere, quando ne appariva uno strano. Ecco la richiesta POST del cliente:

POST some_url   HTTP/1.1
Host: client_url 
Content-Type: application/x-www-form-urlencoded 
Origin: https://client_url
Accept-Encoding: gzip, deflate 
Cookie: Some_cookie
Connection: keep-alive 
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 
User-Agent: Mozilla/5.0 (iPhone; CPU iPhone OS 10_2_1 like Mac OS X) AppleWebKit/602.4.6 (KHTML, like Gecko) Version/10.0 Mobile/14D27 Safari/602.1 
Referer: https://referer_url
Content-Length: 110 
Accept-Language: ja-jp 
X-CUSTOMER_NAME-PROTOCOL: https 
X-Forwarded-For: some_ip_address 

isSecure=1
loginId=plain_text_login  
loginPasswd=plain_text_passwd <- wait, WHAT!
autoLogin=on
doOutsideLogin=login
corpId=some_id

Non sono un esperto della sicurezza a livello di applicazione, ma la password in testo semplice in una richiesta POST non ha un buon odore. Poiché WAF agisce come proxy, il mio client sembra vulnerabile a un attacco MitM.

Ecco la mia domanda

Come mai la parte delle informazioni POST non è stata crittografata? Sembra che TLS sia usato:

isSecure=1
loginId=plain_text_login  
loginPasswd=plain_text_passwd <- wait, WHAT!
autoLogin=on
doOutsideLogin=login
corpId=some_id

passwords firewalls tls man-in-the-middle

posta Emka 30.05.2017 - 11:05

fonte

1 risposta

Leggi altre domande sui tag passwords firewalls tls man-in-the-middle

Un router self-build può minimizzare il rischio potenziale del motore di gestione di intels (ME)? Rilascio dei certificati TSA (Time Stamping Authority)

score 1 · Answer 1

tl; dr

Probabilmente stai vedendo informazioni in chiaro nei registri eventi perché WAF decrittografa i dati come parte della sua analisi.

How come the POST information part wasn't encrypted, since TLS seems to be used

Per essere sicuri avremmo bisogno di più informazioni sulla configurazione della tua rete, ma farò un'ipotesi (come nel commento di Serge Ballesta):

Le informazioni sono state crittografate (dal browser client), ma sono state decodificate da alcune appliance per analizzarle meglio.

I firewall di applicazioni Web di solito hanno la capacità non solo di intercettare il traffico HTTPS, ma di decrittografarlo, perché altrimenti non potrebbero analizzare in modo significativo il traffico. Si chiama Ispezione HTTPS . Per inciso, Imperva WAF (chiamato Firewall di applicazioni Web Imperva SecureSphere ) succede per offrire l'ispezione HTTPS , molto probabilmente decodificò il traffico stesso.

Si noti che l'ispezione HTTPS è uno strumento potente, ma pericoloso, poiché interrompe la natura end-to-end di HTTPS, quindi dovrebbe essere distribuito con cura. Ma quelle decisioni sembrano essere state prese già nel tuo caso ...