Enable javascript in your browser for better experience. Need to know to enable it? Go here.

对 Webhooks 的管理不够严谨

发布于 : Apr 26, 2023
不在本期内容中
这一条目不在当前版本的技术雷达中。如果它出现在最近几期中,那么它很有可能仍然具有相关参考价值。如果这一条目出现在更早的雷达中,那么它很有可能已经不再具有相关性,我们的评估将不再适用于当下。很遗憾我们没有足够的带宽来持续评估以往的雷达内容。 了解更多
Apr 2023
暂缓 ?

随着远程工作的增加,聊天协作平台和 ChatOps 的采用也在增加。这些平台通常提供Webhook(网络挂钩)作为自动发送消息和通知的简单方式,但我们关注到一个令人担忧的趋势: 对Webhooks的管理不够严谨 —将它们视为配置而不是秘密或凭据。这可能会导致钓鱼攻击和内部信息泄露。

Webhook 是提供对内部空间的特权访问的凭据,可能包含可以轻松提取和直接使用的 API 密钥。不将它们视为密钥会导致钓鱼攻击的发生。在 Git 仓库中的Webhook可以轻松提取并用于发送有效的欺诈信息,用户可能没有任何身份验证的方式。为了缓解这种威胁,处理Webhook的团队需要改变他们的习惯,并将Webhook视为敏感凭据。软件开发人员与 ChatOps 平台构建集成必须注意到这种风险,确保这些Webhook具备适当的安全措施。

下载 PDF

 

English | Español | Português | 中文

订阅技术雷达简报

 

立即订阅

查看存档并阅读往期内容