Scenario
Stavo monitorando alcuni eventi dal nostro firewall per applicazioni web (WAF), Imperva SecureSphere, quando ne appariva uno strano. Ecco la richiesta POST del cliente:
POST some_url HTTP/1.1
Host: client_url
Content-Type: application/x-www-form-urlencoded
Origin: https://client_url
Accept-Encoding: gzip, deflate
Cookie: Some_cookie
Connection: keep-alive
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
User-Agent: Mozilla/5.0 (iPhone; CPU iPhone OS 10_2_1 like Mac OS X) AppleWebKit/602.4.6 (KHTML, like Gecko) Version/10.0 Mobile/14D27 Safari/602.1
Referer: https://referer_url
Content-Length: 110
Accept-Language: ja-jp
X-CUSTOMER_NAME-PROTOCOL: https
X-Forwarded-For: some_ip_address
isSecure=1
loginId=plain_text_login
loginPasswd=plain_text_passwd <- wait, WHAT!
autoLogin=on
doOutsideLogin=login
corpId=some_id
Non sono un esperto della sicurezza a livello di applicazione, ma la password in testo semplice in una richiesta POST non ha un buon odore. Poiché WAF agisce come proxy, il mio client sembra vulnerabile a un attacco MitM.
Ecco la mia domanda
Come mai la parte delle informazioni POST non è stata crittografata? Sembra che TLS sia usato:
isSecure=1
loginId=plain_text_login
loginPasswd=plain_text_passwd <- wait, WHAT!
autoLogin=on
doOutsideLogin=login
corpId=some_id