IT Ops

Como detectar acessos indevidos utilizando informações de User-Agent

Como detectar acessos indevidos utilizando informações de User-Agent

By zerum

Criado:
25 nov, 2019
5 anos atrás
Data da última atualização: 11/08/2022

TAGS:

< Voltar para o blog

Informações relevantes são encontradas no campo do header HTTP User-Agent. Veja suas utilidades e como detectar acessos indevidos.

O User-Agent é uma informação encontrada no cabeçalho de requisições HTTP e AJP. Ele serve para identificar qual é o software cliente (ex: navegador/browser) utilizado para acesso ao conteúdo web, permitindo que a requisição seja adequada às necessidades específicas do cliente ou mesmo para bloqueio de acessos e web crawlers. O conceito está definido na RFC 1945.

Sintaxe:

User-Agent: <product> / <product-version> <comment>

O valor do campo User-Agent contém tokens de identificação de nome e versão do produto, com comentários opcionais. Por exemplo:

  • Chrome 41.0.2228.0
  • Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.36Firefox 40.1
  • Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1Safari 7.0.3
  • Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.75.14 (KHTML, like Gecko) Version/7.0.3
  • Safari/7046A194AGooglebot 2.1
  • Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)

Como se pode observar nos exemplos acima, o valor contido no campo User-Agent é definido pelo desenvolvedor do software que origina a requisição e pode conter informações sobre compatibilidade com diversos componentes simultaneamente, inclusive Sistema Operacional e processador do cliente.

Como nem sempre é fácil interpretar o conteúdo do User-Agent, existem websites como o useragentstring.com que nos ajudam a interpretar esses dados com mais facilidade. Importante observar que existem diversos casos onde o campo User-Agent também é usado para atividades maliciosas e invasão de servidores (veja mais neste link).

Exemplos de análises possibilitadas pelo campo User-Agent:

  • Identificação de problemas de operação e interoperabilidade, haja vista que este campo permite que o servidor HTTP customize o conteúdo para os recursos de um dispositivo particular.
  • Estatísticas quanto a browsers/navegadores ou sistemas operacionais dos clientes, bem como padrões inesperados.
  • Identificação e mensuração de bots e web crawlers que estão acessando o conteúdo web.

O Zerum Valk provê visibilidade sobre os User-Agents de todas as requisições HTTP e AJP – facilitando sua análise – e gerando alarmes em casos de anomalias.

Sobre a Zerum

A Zerum é uma empresa de Data Science líder em inovação que fornece visibilidade e entendimento em tempo real sobre fluxos de dados complexos. Nossos produtos, serviços e tecnologias ajudam grandes organizações a reduzir gargalos operacionais, combater ameaças cibernéticas avançadas, detectar fraudes e manter comunidades seguras.

Para saber mais, entre em contato!

Related articles

Observabilidade na camada de Aplicação: Uma necessidade no cenário atual
Observabilidade na camada de Aplicação: Uma necessidade no cenário atual

As equipes de TI estão cada vez mais focadas na melhoria da segurança,...

10 meses atrás

By Zerum Team

Superando desafios do BYOD com análise de performance e segurança cibernética
Superando desafios do BYOD com análise de performance e segurança cibernética

A adoção da política de “traga o seu próprio dispositivo”, do “Bring Your...

12 meses atrás

By Zerum Team

Observabilidade: Além do monitoramento
Observabilidade: Além do monitoramento

A área de tecnologia da informação é repleta de sistemas complexos, frequentemente distribuídos,...

1 ano atrás

By Zerum Team