Escenario
Estaba monitoreando algunos eventos desde nuestro servidor de seguridad de aplicaciones web (WAF), Imperva SecureSphere, cuando apareció uno extraño. Aquí está la solicitud POST del cliente:
POST some_url HTTP/1.1
Host: client_url
Content-Type: application/x-www-form-urlencoded
Origin: https://client_url
Accept-Encoding: gzip, deflate
Cookie: Some_cookie
Connection: keep-alive
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
User-Agent: Mozilla/5.0 (iPhone; CPU iPhone OS 10_2_1 like Mac OS X) AppleWebKit/602.4.6 (KHTML, like Gecko) Version/10.0 Mobile/14D27 Safari/602.1
Referer: https://referer_url
Content-Length: 110
Accept-Language: ja-jp
X-CUSTOMER_NAME-PROTOCOL: https
X-Forwarded-For: some_ip_address
isSecure=1
loginId=plain_text_login
loginPasswd=plain_text_passwd <- wait, WHAT!
autoLogin=on
doOutsideLogin=login
corpId=some_id
No soy un experto en seguridad de nivel de aplicación, pero la contraseña de texto simple en una solicitud POST no huele bien. Dado que el WAF actúa como un proxy, mi cliente parece ser vulnerable a un ataque MitM.
Aquí está mi pregunta
¿Por qué no se cifró la parte de información POST? Parece que se usa TLS:
isSecure=1
loginId=plain_text_login
loginPasswd=plain_text_passwd <- wait, WHAT!
autoLogin=on
doOutsideLogin=login
corpId=some_id