Heimdallr - 被动嗅探浏览器插件
Heimdallr是一款致力于被动嗅探浏览器流量,提示高危资产指纹和蜜罐特征,并进行拦截告警的谷歌插件,还可以用于对浏览器特征追踪(evercookie、webRTC、Canvas画布等)的对抗。
项目由深蓝实验室天魁战队提供维护。
项目地址
https://github.com/graynjo/Heimdallr
安装要求:Chrome版本高于Chrome v96
安装
- GitHub Releases 下载插件最新编译版本
- 解压
- Chrome浏览器-扩展程序-管理-加载已解压的扩展程序
配置选项
被动识别配置
- 启用响应体规则匹配
默认一般不嗅探Response Body。建议仅在攻击期间开启。 - 关闭浏览器页面缓存(强制刷新)
浏览器一般会自动存储静态资源,会导致插件在刷新页面时不会重复触发。建议开启。
蜜罐拦截配置
- 符合蜜罐特征请求自动拦截
建议仅在攻击期间开启。
特征对抗配置
- 清除所有浏览器持久化项数据
等同于手动清理浏览数据(包括网页缓存、Cookie、密码记录等) - WebRTC 防IP泄露严格策略
由于 WebRTC 的特性,即使使用代理也会泄露真实IP地址。如有需要可以开启(请勿与其他WebRTC防护插件同时使用)。 - Canves噪点干扰脚本注入
Canvas 在不同设备、操作系统、浏览器绘制图形会有些许不同,可以以此来标识用户。逻辑和UA类似,如果用户的设备、操作系统、浏览器都一样的,计算出来的 canvas 指纹也是一样的。
建议攻击期间开启
效果测试
总体来看,没有想象中的强大,姑且一用。
指纹识别测试
实测,不开 “响应体规则匹配”,基本什么都识别不到,仅能识别 java web、Tomcat 这些基础组件,效果甚至不如 wappalyzer。
开启 “响应体规则匹配” 的识别效果:
若依后台管理系统
ThinkPHP(未识别)
dedecms / 织梦
shiro(未识别)
蜜罐测试
蜜罐识别还可以用。
识别成功
未识别
![LeetCode 刷题 [C++] 第226题.翻转二叉树](https://img-blog.csdnimg.cn/direct/b95f6cf4db03439380eca20a6b2eecfa.png)
