作者:Tom Gorup,Anthony Campolo,Andrew Johnson
簡介
在廣泛報道的Okta違規事件影響了包括CloudFlare,BeyondTrust和1Password在內的各種提供商之後,我們認為有必要通過提供更多清理Har文件方法的可訪問性來為解決方案做出貢獻。 此工具是根據開源許可證發布的,使其無限期可用,只要Har文件對支援團隊至關重要,就能確保其實用。什麼是HAR文件?
如果您不熟悉HAR文件(HTTP Archive的縮寫),則它們是Web瀏攬器與網站交互的日誌。 支援團隊使用它們來幫助診斷客戶體驗問題。 HAR文件簡化了一個流程,否則這一流程會很困難,需要大量手動工作才能從不同網路,設備和瀏攬器跟蹤日誌。 廣泛使用的Google快速搜尋可找到18,700個支援頁面的結果,說明如何創建Har文件。 瀏攬器執行的每個操作都將被捕獲並存儲在JSON格式的HAR文件中,該文件捕獲包括完整請求/響應標頭,內容有效負載,計時資訊(例如DNS查找)等資訊。 但是,正如安全性中經常發生的情況一樣,這種便利性也需要權衡一下。 HAR文件還包含非常敏感的資訊,包括Cookie和會話令牌。攻擊者可以對未清理的Har文件執行什麼操作?
簡單的答案是很多! 與未經授權訪問HAR文件相關的一些潛在風險包括:- 會話劫持:如果HAR文件包含會話令牌或敏感Cookie,惡意攻擊者可能會使用此資訊劫持用戶的會話,從而獲得對其帳戶的未授權訪問。
- 資料暴露:個人資訊,密碼或用戶端與伺服器之間交換的其他機密資料可能會暴露,提供寶貴的資訊,用於身分盜用或其他惡意活動。
- 偵察:HAR文件中的詳細資訊可用於偵察目的,幫助攻擊者了解Web應用程式的結構和漏洞。 此資訊有助於規劃更具針對性的攻擊,XSS攻擊或其他形式的注入攻擊。
- 隱私暴露:HAR文件可能捕獲用戶的瀏覽行爲,包括訪問過的URL。 這些資訊可能會落入不法之手,用於侵犯隱私權或有針對性的網路釣魚攻擊。
介紹Edgio的Har殺菌器
該代碼提供了多個部署選項以適應不同的使用案例和工作流。 您可以在本地部署消毒器,也可以在自己的Web實例上部署,甚至可以設定通過API對文件進行消毒的自動化工作流。 如果您的支援團隊正在執行ServiceNow或其他工作流自動化平臺並定期接收HAR文件,則最後一個選項非常有用。
其他建議
雖然收集或發送HAR文件時需要清理,這應該是任何故障排除過程的一個重要步驟,但我們假設許多組織可能仍在使用舊的HAR文件。 即使會話令牌早已過期,HAR文件也可能包含許多敏感資訊,惡意演員會希望獲得這些資訊。 為避免合規性問題並降低數據洩露的風險,請確保將刪除HAR文件作為支援流程的一部分,並儘快刪除所有舊文件。
結論
在Edgio,我們致力於使網際網路變得更安全,希望您能發現該工具對您有所幫助。
Edgio支援超過4%的全球網際網路流量,採用專有技術來檢測和緩解不斷變化的威脅,包括零天。 要了解我們屢獲殊榮的整體Web應用程式和API保護(WAAP)的更多資訊,請聯繫我們的安全專家。