Обратитесь к спуфингу

В HTTP сетях , обычно во Всемирной паутине , подмена реферера (на основе канонизированного ^[1] неправильное написание слова « реферер ») отправляет неверную о реферере информацию в HTTP-запросе , чтобы помешать веб-сайту получить точные данные об идентичности веб-страницы, ранее посещенной пользователем.

Обзор

Подмена реферера обычно выполняется из соображений конфиденциальности данных , при тестировании или для запроса информации (без подлинных полномочий), которую некоторые веб-серверы могут предоставлять только в ответ на запросы конкретных HTTP-рефереров.

Чтобы улучшить свою конфиденциальность , отдельные браузера пользователи могут заменять точные данные о рефералах неточными данными, хотя многие просто подавляют отправку любых данных о рефералах своим браузером. Отправка информации о реферере технически не является подделкой, хотя иногда ее также называют таковой.

При тестировании программного обеспечения, систем и сетей, а иногда и при тестировании на проникновение , подмена реферера часто является лишь частью более широкой процедуры передачи как точных, так и неточных, а также ожидаемых и неожиданных входных данных в HTTPD и наблюдения за результатами. тестируемую систему ^[2]

Хотя многие веб-сайты настроены на сбор информации о реферере и предоставление различного контента в зависимости от полученной информации о реферере, использование исключительно информации о реферере HTTP для целей аутентификации и авторизации не является настоящей мерой компьютерной безопасности . Информация HTTP-реферера свободно изменяется и перехватывается и не является паролем , хотя некоторые плохо настроенные системы рассматривают ее как таковую.

Приложение

Некоторые веб-сайты, особенно многие сайты хостинга изображений, используют информацию о реферале для защиты своих материалов: изображения обслуживаются только браузерами, пришедшими с их веб-страниц. Кроме того, сайт может захотеть, чтобы пользователи переходили по страницам с рекламой, прежде чем получить прямой доступ к загружаемому файлу — использование ссылающейся страницы или информации ссылающегося сайта может помочь сайту перенаправить неавторизованных пользователей на целевую страницу, которую сайт хотел бы использовать.

Если злоумышленники узнают об этих одобренных реферерах, что часто тривиально, поскольку многие сайты следуют общему шаблону, ^[3] они могут использовать эту информацию в сочетании с ней для использования материалов и получения доступа к ним.

Подмена часто позволяет получить доступ к содержимому сайта, если веб-сервер сайта настроен на блокировку браузеров, которые не отправляют заголовки реферера. Владельцы веб-сайтов могут сделать это, чтобы запретить использование хотлинков .

Его также можно использовать для обхода элементов управления проверкой рефереров, которые используются для смягчения атак подделки межсайтовых запросов .

Инструменты

Существует несколько программных инструментов, облегчающих подмену реферера в веб-браузерах. Некоторые из них представляют собой расширения для популярных браузеров, таких как Mozilla Firefox или Internet Explorer , которые могут предоставлять возможности для настройки и управления URL-адресами перехода для каждого веб-сайта, который посещает пользователь.

Другие инструменты включают прокси-серверы , на которые человек настраивает свой браузер для отправки всех HTTP-запросов. Затем прокси-сервер пересылает различные заголовки на целевой веб-сайт, обычно удаляя или изменяя заголовок реферера. Такие прокси-серверы также могут создавать проблемы конфиденциальности для пользователей, поскольку они могут регистрировать действия пользователя.

См. также

Реферальный спам – вид спама, направленный на поисковые системы.

Примечания

^ Горли, Дэвид; Тотти, Брайан; Сэйер, Марджори; Аггарвал, Аншу; Редди, Сайлу (27 сентября 2002 г.). HTTP: Полное руководство . «О'Рейли Медиа, Инк.». ISBN 9781565925090 .
^ «Стандарт только для HTTPS — Введение в HTTPS» . https.cio.gov . Проверено 01 мая 2021 г.
^ Сиеклик, Борис (март 2016 г.). «Оценка усиления атаки TFTP DDoS». Киберакадемия Эдинбургского университета Нейпира .

[HTTP:_The_Definitive_Guide-1] Горли, Дэвид; Тотти, Брайан; Сэйер, Марджори; Аггарвал, Аншу; Редди, Сайлу (27 сентября 2002 г.). HTTP: Полное руководство . «О'Рейли Медиа, Инк.». ISBN 9781565925090 .

[2] «Стандарт только для HTTPS — Введение в HTTPS» . https.cio.gov . Проверено 01 мая 2021 г.

[3] Сиеклик, Борис (март 2016 г.). «Оценка усиления атаки TFTP DDoS». Киберакадемия Эдинбургского университета Нейпира .

[1]

[2]

[3]

v т и Мошенничество и обманы доверия
Терминология	Мошенничество Ошибка аккаунта Шилл Шистер Список лохов
Известные мошенничества и трюки с доверием	Афера на индийском фондовом рынке 1992 года. Корпус спектра 2G Мошенничество с предоплатой Мошенничество со студентами-художниками Игра Барсук Приманка и подмена Мошенничество с черными деньгами Благословение мошенничества Поддельное условное депонирование Котельная Афера с невестой Благотворительное мошенничество Зажимное соединение Игра «Сопоставление монет» Мошенничество с подкатом монет Отбросьте мошенничество Позорная проверка Выход из мошенничества Внеземная недвижимость игра на скрипке Мелкий шрифт Схема спасения от потери права выкупа Валютное мошенничество Мошенничество с предсказанием судьбы Мошенничество с драгоценными камнями Схема быстрого обогащения Мошенничество с зелеными товарами суета Мошенничество с распределением угля в Индии Мошенничество с выдачей себя за другое лицо налоговой службы США Мошенничество с интеллектуальной собственностью Канзас-Сити Шаффл Слесарное мошенничество Длинная фирма Афера с чудо-автомобилями Неправильная маркировка Ложный аукцион Мошенничество с переездом Мошенничество с переплатой Патент безопасен Кот в мешке Голубь падение Свиная бочка Насос и сброс Схемы выкупа/A4V Перезагрузка лохотрона Мошенничество с возвратом Соление Игра в ракушки Мистификация больного ребенка Мошенничество с заменой SIM-карты Мошенничество с возмещением рабства Испанский пленник Мошенничество с выдачей себя за другое лицо SSA ССК Мошенничество Разоблачить мошенничество с телефонным звонком Болото во Флориде Афера с асфальтом Мошенничество с техподдержкой Мошенничество с помощью телемаркетинга Афера с тайским портным Тайское зигзагообразное мошенничество Трехкарточный Монте Троянский конь Мыть трейдинг Мошенничество с динамиками в белом фургоне Схема работы на дому
Интернет-мошенничество и контрмеры	лавина Забой свиней Кардинг Рыбалка Нажмите мошенничество Кликджекинг Зубрежка Мошенничество с криптовалютой Киберпреступность КиберТрилл ДаркМаркет Мошенничество с доменными именами Аутентификация по электронной почте Мошенничество по электронной почте Интернет-линчевание Ленни бот по борьбе с мошенничеством Мошенничество с лотереей ПайПай Фишинг Обратитесь к спуфингу Отчет о грабеже Рок Фиш Романтическая афера Русская Бизнес Сеть СаферНет Мошенническая травля 419eater.com Джим Браунинг С Китбо Расплата за мошенников ShadowCrew Поддельный URL-адрес Спуфинг-атака Генерация запасов Голосовой фишинг Рейтинг репутации сайта
Пирамида и Схемы Понци	Аман Фьючерс Групп Бернард Корнфельд Каритас Белая Леди Эрл Джонс Эзубао Фонд благотворительности новой эры Мошенничество с франшизой Высокодоходная инвестиционная программа (HYIP) Служба иностранных инвесторов Капа инвестиционная афера Схема куба Инвестиционный скандал Мэдоффа Зарабатывайте деньги быстро Матричная схема М-М-М Группа Петтерс по всему миру Финансовые пирамиды в Албании Рид Слаткин Финансовый скандал Saradha Group Тайная сестра Скотт В. Ротштейн Стэнфордская финансовая группа Мошенничество с религией Welsh Thrasher
Списки	Мошенники Уловки уверенности Преступные предприятия, банды и синдикаты Самозванцы В СМИ Кино и телевидение Литература Схемы Понци