Home Blogs 介绍Edgio的开源HAR消毒器工具
Applications

介绍Edgio的开源HAR消毒器工具

About The Author

Outline

作者:Tom Gorup,Anthony Campolo,Andrew Johnson

导言

在广泛报道的Okta漏洞影响了各种提供商(包括CloudFlare,BeyondTrust和1Password)之后 ,我们认为有必要通过提供更多方法来清理HAR文件,从而为解决方案做出贡献。 该工具 是在开源许可证下发布的,使其无限期可用,确保只要HAR文件对支持团队至关重要,它就能发挥作用。

什么是HAR文件?

如果您不熟悉 HAR文件,HTTP归档(HTTP Archive)的缩写,它们是Web浏览器与网站交互的日志。

支持团队使用它们来帮助诊断客户体验问题。 HAR文件简化了一个过程,否则这将是一个挑战,并需要大量的手动工作来跟踪不同网络,设备和浏览器的日志。 一个广泛使用的Google快速搜索可找到大约18,700个支持页面的结果,这些页面解释了如何创建HAR文件。

浏览器执行的每个操作都被捕获并存储在JSON格式的HAR文件中,该文件捕获包括完整的请求/响应标头,内容有效负载,计时信息(例如DNS查找)等信息。 但与安全方面经常发生的情况一样,这种便利也有一个折衷之处。 HAR文件还包含非常敏感的信息,包括Cookie和会话令牌。

攻击者可以对未经清理的HAR文件执行什么操作?

简短的回答是很多!

与未经授权访问HAR文件相关的一些潜在风险包括:

  1. 会话劫持: 如果HAR文件包含会话令牌或敏感Cookie,恶意攻击者可以使用此信息劫持用户的会话,获得对其帐户的未经授权的访问。
  2. 数据泄露: 客户机和服务器之间交换的个人信息,密码或其他敏感数据可能会泄露,从而为身份盗窃或其他恶意活动提供有价值的信息。
  3. 侦察: HAR文件中的详细信息可用于侦察目的,帮助攻击者了解Web应用程序的结构和漏洞。 此信息可能有助于规划更具针对性的攻击,XSS攻击或其他形式的注入攻击。
  4. 隐私暴露: HAR文件可能会捕获用户的浏览行为,包括访问过的URL。 这些信息可能会被用于侵犯隐私或针对性的网络钓鱼攻击。

如果不良行为者能够获得网站管理员或安全人员生成的HAR文件的控制权,他们可能会对您的网站或应用程序造成严重破坏。 通过成功的会话劫持,具有管理员权限的攻击者可以关闭速率限制以使网站更容易受到DDoS攻击,修改爬虫程序管理设置以阻止Google等合法爬虫程序并损害SEO (和收入),甚至删除您的网站。 有许多消极的可能性,但也有一些步骤,你可以采取降低风险.

介绍Edgio的HAR消毒器

Har Sanitizer GitHub 页面

如果您打算将HAR文件发送给某人(您的网站或应用程序出现问题),或者如果您计划接收这些文件(您运行一个支持团队),Edgio已经构建了一个 HAR清理程序 来删除HAR文件中的所有敏感信息。

来自开源HAR Sanitizer的示例代码

该代码提供了多个部署选项,以适应不同的用例和工作流。 您可以在本地,在自己的Web实例上部署清理程序,甚至可以设置通过API清理文件的自动化工作流。 如果您的支持团队正在运行ServiceNow或其他工作流程自动化平台,并定期接收HAR文件,则最后一个选项非常适用。

HAR Sanitizer Web界面

其他建议

虽然在收集或发送HAR文件时需要进行清理应该是任何故障排除过程的一个重要步骤,但我们假设许多组织可能仍在使用旧的HAR文件。 即使会话令牌早已过期,HAR文件也可能包含大量的敏感信息,而这些信息是坏行为者希望得到的。 为了避免合规性问题并降低数据泄露的风险,请确保在支持过程中删除HAR文件,并尽快删除任何旧文件。

结论

在Edgio,我们正在努力使互联网成为一个更安全的地方,并希望您会发现该工具有帮助。

Edgio为超过4%的全球互联网流量提供支持,它采用专有技术来检测和缓解不断发展的威胁,包括零日威胁。 要了解有关我们屡获殊荣的整体Web应用程序和API保护(WAAP)的更多信息,请 联系 我们的安全专家。