作者:Tom Gorup,Anthony Campolo,Andrew Johnson
简介
广泛报道的Okta漏洞影响了各种提供商(包括CloudFlare,BeyondTrust和1Password)之后,我们认为有必要通过提供更多清理HAR文件的方法来为解决方案做出贡献。 此工具是在开放源代码许可证下发布的,使其无限期可用,只要HAR文件对支持团队是必不可少的,就能确保其效用。什么是HAR文件?
如果您不熟悉HAR文件(HTTP Archive的缩写),它们是Web浏览器与网站交互的日志。 支持团队使用它们来帮助诊断客户体验问题。 HAR文件简化了一个过程,否则这一过程将具有挑战性,需要大量手动努力来跟踪来自不同网络,设备和浏览器的日志。 广泛使用的Google快速搜索可找到大约18,700个支持页面的结果,这些页面解释了如何创建HAR文件。 浏览器执行的每个操作都被捕获并存储在JSON格式的HAR文件中,该文件捕获的信息包括完整的请求/响应标头,内容有效负载,计时信息(例如DNS查找)等。 但正如在安全方面经常发生的那样,这种便利性需要权衡。 HAR文件还包含非常敏感的信息,包括Cookie和会话令牌。攻击者可能对未经清理的HAR文件执行什么操作?
简短的答案是很多! 与未经授权访问HAR文件相关的一些潜在风险包括:- 会话劫持:如果HAR文件包含会话令牌或敏感Cookie ,恶意攻击者可能会利用此信息劫持用户的会话,从而获得对其帐户的未授权访问。
- 数据暴露:客户端和服务器之间交换的个人信息,密码或其他敏感数据可能会暴露,从而为身份盗窃或其他恶意活动提供宝贵信息。
- 侦察:HAR文件中的详细信息可用于侦察目的,帮助攻击者了解Web应用程序的结构和漏洞。 此信息可能有助于规划更有针对性的攻击,XSS攻击或其他形式的注入攻击。
- 隐私暴露:HAR文件可能会捕获用户的浏览行为,包括访问过的URL。 在不法分子手中,这些信息可能会被用于侵犯隐私或定向网络钓鱼攻击。
介绍Edgio’s Har Sanitizer
如果您打算将HAR文件发送给他人(您的网站或应用程序有问题),或者如果您打算接收它们(您运行的是支持团队),Edgio构建了一个HAR消毒器,以删除HAR文件中的所有敏感信息。
该代码提供多个部署选项以适应不同的用例和工作流。 您可以在本地或自己的Web实例上部署清理程序,甚至可以设置通过API清理文件的自动化工作流。 如果您的支持团队正在运行ServiceNow或另一个工作流自动化平台并定期接收HAR文件,则最后一个选项非常有效。
其他建议
虽然在收集或发送HAR文件时要求进行清理操作应该是任何疑难解答过程中的一个基本步骤,但我们假设许多组织可能仍在使用旧的HAR文件。 即使会话令牌早已过期,HAR文件也可能包含大量敏感信息,恶意攻击者很乐意使用这些信息。 为避免合规性问题并降低数据泄露风险,请务必将删除HAR文件作为支持流程的一部分,并尽快删除任何旧文件。
结论
在Edgio,我们正在努力使互联网成为一个更安全的地方,并希望您会发现该工具对您有所帮助。
Edgio拥有超过4%的全球互联网流量,采用专有技术来检测和缓解不断演变的威胁,包括零天。 要了解有关我们屡获殊荣的整体Web应用程序和API保护(WAAP)的更多信息,请联系我们的安全专家。