Interesting HTTP
Encabezados de referente y política
Referente es el encabezado utilizado por los navegadores para indicar cuál fue la página visitada anteriormente.
Fuga de información sensible
Si en algún momento dentro de una página web cualquier información sensible se encuentra en los parámetros de una solicitud GET, si la página contiene enlaces a fuentes externas o un atacante es capaz de hacer/sugerir (ingeniería social) que el usuario visite una URL controlada por el atacante. Podría ser capaz de exfiltrar la información sensible dentro de la última solicitud GET.
Mitigación
Puedes hacer que el navegador siga una política de referente que podría evitar que la información sensible sea enviada a otras aplicaciones web:
Contra-Mitigación
Puedes anular esta regla utilizando una etiqueta meta HTML (el atacante necesita explotar una inyección HTML):
Defensa
Nunca coloques datos sensibles dentro de los parámetros GET o en las rutas de la URL.
Última actualización