A maioria dos browsers web utilizam um User-Agent de acordo com o formato "Mozilla/[versão] ([informação do sistema e browser]) [plataforma] ([detalhes]) [extensões]". Por exemplo, um usuário utilizando o navegador Safari no seu iPad enviaria a seguinte informação para o servidor web:
Mozilla/5.0 (iPad; U; CPU OS 3_2_1 like Mac OS X; en-us) AppleWebKit/531.21.10 (KHTML, like Gecko) Mobile/7B405Mas, da mesma forma que o user-agent identifica se um usuário tem um browser IE, Chrome ou Firefox, ele também pode conter informações que utilizamos para identificar se o usuário está navegando na Internet com um navegador malicioso, comprometido ou, no mínimo, suspeito ou que possa apresentar um certo nível de risco.
Pensando nisso, o site Perishable Press publicou uma lista bem grande de user-agents maliciosos, que podem indicar a presença de um Bot, Adware ou malwares. Eles podem indicar um acesso arriscado, realizado por um usuário com más intenções ou um usuário com seu computador infectado, e por isso, poderiam ser bloqueados por ferramentas ou recursos de segurança.
A blacklist está disponível como uma lista em texto puro que pode ser incluída em um arquivo de configuração .htaccess do seu servidor web.
Outras referências interessantes:
- quer saber qual é o user-agent do seu browser atual? Veja aqui;
- no site useragentstring.com é possível colar um user-agent e ver o que ele significa;
- o site user-agents.org possui uma lista completa de user-agents em ordem alfabética, incluindo os user-agents válidos e os maliciosos;
- quer trocar o user-agent do seu browser? Existem várias extensões que fazem isso, tais como o User Agent Switcher para Firefox ou o User Agent Switcher para Chrome.
Um comentário:
Boa Anchises !
Blacklists de Browser user-agents estão sendo bastante usadas por NGFW (Next Generation Firewalls) hoje em dia, como o FireEye por exemplo.
Essa dica também é boa para quem usa/está implementando algum SIEM.
Incluir correlações usando tal blacklist é uma boa idéia....
[]´s
Postar um comentário