Technology Radar
Published : Apr 26, 2023
NOT ON THE CURRENT EDITION
This blip is not on the current edition of the Radar. If it was on one of the last few editions, it is likely that it is still relevant. If the blip is older, it might no longer be relevant and our assessment might be different today. Unfortunately, we simply don't have the bandwidth to continuously review blips from previous editions of the Radar.
Understand more
Apr 2023
Hold
随着远程工作的增加,聊天协作平台和 ChatOps 的采用也在增加。这些平台通常提供Webhook(网络挂钩)作为自动发送消息和通知的简单方式,但我们关注到一个令人担忧的趋势: 对Webhooks的管理不够严谨 —将它们视为配置而不是秘密或凭据。这可能会导致钓鱼攻击和内部信息泄露。
Webhook 是提供对内部空间的特权访问的凭据,可能包含可以轻松提取和直接使用的 API 密钥。不将它们视为密钥会导致钓鱼攻击的发生。在 Git 仓库中的Webhook可以轻松提取并用于发送有效的欺诈信息,用户可能没有任何身份验证的方式。为了缓解这种威胁,处理Webhook的团队需要改变他们的习惯,并将Webhook视为敏感凭据。软件开发人员与 ChatOps 平台构建集成必须注意到这种风险,确保这些Webhook具备适当的安全措施。
