Los registros WAF muestran la contraseña de texto sin formato y el inicio de sesión en un encabezado POST enviado a través de HTTPS

5

Escenario

Estaba monitoreando algunos eventos desde nuestro servidor de seguridad de aplicaciones web (WAF), Imperva SecureSphere, cuando apareció uno extraño. Aquí está la solicitud POST del cliente:

POST some_url   HTTP/1.1
Host: client_url 
Content-Type: application/x-www-form-urlencoded 
Origin: https://client_url
Accept-Encoding: gzip, deflate 
Cookie: Some_cookie
Connection: keep-alive 
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 
User-Agent: Mozilla/5.0 (iPhone; CPU iPhone OS 10_2_1 like Mac OS X) AppleWebKit/602.4.6 (KHTML, like Gecko) Version/10.0 Mobile/14D27 Safari/602.1 
Referer: https://referer_url
Content-Length: 110 
Accept-Language: ja-jp 
X-CUSTOMER_NAME-PROTOCOL: https 
X-Forwarded-For: some_ip_address 

isSecure=1
loginId=plain_text_login  
loginPasswd=plain_text_passwd <- wait, WHAT!
autoLogin=on
doOutsideLogin=login
corpId=some_id

No soy un experto en seguridad de nivel de aplicación, pero la contraseña de texto simple en una solicitud POST no huele bien. Dado que el WAF actúa como un proxy, mi cliente parece ser vulnerable a un ataque MitM.

Aquí está mi pregunta

¿Por qué no se cifró la parte de información POST? Parece que se usa TLS:

isSecure=1
loginId=plain_text_login  
loginPasswd=plain_text_passwd <- wait, WHAT!
autoLogin=on
doOutsideLogin=login
corpId=some_id
    
pregunta Emka 30.05.2017 - 11:05
fuente

1 respuesta

1

tl;dr

Probablemente esté viendo información de texto sin formato en los registros de eventos porque WAF desencripta los datos como parte de su análisis.

  

¿Por qué no se cifró la parte de información POST, ya que parece que TLS   para ser utilizado

Para estar seguros de que necesitaremos más información sobre la configuración de su red, pero lo adivinaré (como en el comentario de Serge Ballesta):

La información fue encriptada (por el navegador del cliente), pero fue descifrada por algún dispositivo para analizarla mejor.

Los firewalls de aplicaciones web generalmente tienen la capacidad de no solo interceptar el tráfico HTTPS, sino también de descifrarlo, ya que de lo contrario no podrían analizar el tráfico de manera significativa. Esto se denomina inspección de HTTPS . Por cierto, el Imperva WAF (denominado Imperva SecureSphere Web Application Firewall ) pasa a ofrecer una inspección de HTTPS , así que lo más probable es que haya descifrado el tráfico en sí.

Tenga en cuenta que la inspección de HTTPS es una herramienta poderosa, pero peligrosa, porque rompe la naturaleza de extremo a extremo de HTTPS, por lo que debe implementarse con cuidado. Pero parece que ya se han tomado decisiones en su caso ...

    
respondido por el sleske 19.10.2017 - 13:27
fuente

Lea otras preguntas en las etiquetas