Geliştiricilerin ve destek ekiplerinin HTTP Arşiv dosyalarını yetkisiz erişime karşı güvence altına almasına yardımcı olmak amacıyla Frontegg, HAR dosyalarını temizleyen açık kaynaklı bir araç olan HARmor’u piyasaya sürdü.
HAR dosyaları, geliştiriciler ve destek ekipleri tarafından ağ sorunlarında hata ayıklamak, web sitesi performansını analiz etmek ve web uygulamalarındaki güvenlik açıklarını araştırmak için yaygın olarak kullanılır. HAR dosyaları, ziyaret edilen sayfaların URL’leri, her isteğin zamanlaması, yanıt durum kodları, başlıklar, çerezler ve hatta sayfaların içerikleri gibi tarayıcının bir siteyle olan tüm web etkileşimlerini günlüğe kaydeder. HAR dosyaları ayrıca oturum belirteçlerini, API anahtarlarını, şifreleri ve diğer hassas verileri de içerebilir. Bu dosyalar aynı zamanda ağ trafiğini simüle etmek ve web sayfalarının nasıl yanıt verdiğini test etmek için de kullanışlıdır.
Frontegg’in Ar-Ge başkan yardımcısı Amir Jaron, HAR dosyalarında depolanan veri miktarının onları siber suçluların hesap ele geçirme, oturum ele geçirme ve müşteri desteği sızma saldırılarında kullanabileceği potansiyel “hazine hazineleri” haline getirdiğini söylüyor.
HAR dosyalarının korunması gereken hassas veriler içerdiği gerçeği, Okta’nın yakın zamanda şirketin destek vaka yönetimi sistemine yüklenen bu dosyaları bir tehdit aktörünün görüntüleyebildiğini açıklamasıyla ortaya çıktı. Bu dosyalar, saldırganın birkaç geçerli Okta müşterisinin kimliğine bürünmek için kullandığı oturum belirteçlerini içeriyordu. Buna yanıt olarak Okta, gömülü oturum belirteçlerini iptal etti ve HAR dosyalarının işlenme şeklini yeniden değerlendirdi. Okta CSO’su David Bradbury, açıklamada “Genel olarak Okta, bir HAR dosyasındaki tüm kimlik bilgilerinin ve çerezlerin/oturum belirteçlerinin paylaşılmadan önce temizlenmesini tavsiye ediyor” dedi.
Okta desteği, diğer birçok kuruluş gibi, müşteri sorunlarını giderirken HAR dosyalarına güveniyor; dolayısıyla dosyaların vaka yönetimi sistemine güncellenmesi alışılmadık bir durum değildi. Jaron, aslında, tehdit aktörlerinin HAR dosyalarını hedef alması halinde Frontegg’in kendi iş operasyonlarının risk altında olacağını çok çabuk fark ettiğini söylüyor. Okta’nın ihlali, kullanıcının güvenini korumak için HAR dosyalarının güvenliğinin sağlanmasının “kritik gerekliliğinin” altını çizdi.
Jaron, HARmor’u duyuran bir gönderide, “İş itibarı ve müşteri güveni açısından potansiyel ciddi sonuçlar, teknik destek kuruluşları ve onlara bağlı olan müşteriler için büyük endişe kaynağıdır” diye yazdı.
Frontegg için HAR dosyalarını kullanmamak bir seçenek olmadığından şirketin bu dosyalardaki verileri temizlemenin ve sterilize etmenin bir yolunu bulması gerekiyordu. Frontegg ekibi HARmor’un mekanizmalarını çözdükten sonra, aynı risklerle karşı karşıya kalan diğer teknik destek kuruluşlarına ve geliştiricilere yardımcı olmak için aracı açık kaynaklı hale getirmek mantıklı oldu.
HARmor çeşitli temizleme ve sanitasyon yetenekleri sağlar. HARmor, çerezler, şifreler, yetkilendirme başlıkları ve sorgu parametreleri gibi hassas bilgileri tespit edip temizleyebilir. HARmor ayrıca JSON gövde anahtarlarını kaldırabilir, dosyaları URL’lere göre temizleyebilir ve JWT imzalarını kaldırabilir. Kullanıcılar, depolanan bilgi miktarını azaltmak amacıyla gereksiz verileri dosyadan kesmek için HARmor’u kullanabilir. HAR dosyasını temizledikten sonra HARmor dosyayı şifreler, böylece dosya yanlış ellere düşse bile içerik korunur.
HARmor iki modda çalışır: Doğrudan Temizleme veya Şablon modu. Doğrudan Temizleme modu, kullanıcılara her veri noktasının gözden geçirilmesi ve temizlenmesi gerekip gerekmediğine karar vermeleri için yapılandırılmış bir anket sunar. Joran’a göre, Şablon modunda kullanıcılar kendi standartlarını bir JSON dosyasında tanımlayabilir; bu, özellikle çerezlere, başlıklara ve işe özel diğer veri modellerine temizleme kurallarını tutarlı bir şekilde uygulamak için kullanışlıdır.
Bu şablonlar aynı zamanda HARmor deposu aracılığıyla diğer kullanıcılarla da paylaşılabilir, böylece başkalarının da temizleme kurallarını geliştirmek için halihazırda yapılmış olan çalışmalardan faydalanmasına olanak sağlanır.
Joran, “Bu topluluk odaklı yaklaşım, yalnızca aracı geliştirmekle kalmıyor, aynı zamanda kolektif güvenlik sorumluluğu ekosistemini de güçlendiriyor” diye yazdı.