Interesting HTTP
Intestazioni di riferimento e politica
Il riferimento è l'intestazione utilizzata dai browser per indicare quale è stata la pagina precedente visitata.
Informazioni sensibili divulgate
Se in una pagina web viene trovata in qualche punto qualsiasi informazione sensibile nei parametri di una richiesta GET, se la pagina contiene collegamenti a fonti esterne o un attaccante è in grado di far visitare all'utente un URL controllato dall'attaccante (ad esempio tramite social engineering), potrebbe essere in grado di esfiltrare le informazioni sensibili all'interno dell'ultima richiesta GET.
Mitigazione
È possibile fare in modo che il browser segua una politica di riferimento che potrebbe evitare che le informazioni sensibili vengano inviate ad altre applicazioni web:
Contromisure
È possibile annullare questa regola utilizzando un tag meta HTML (l'attaccante deve sfruttare un'iniezione HTML):
Difesa
Non inserire mai dati sensibili nei parametri GET o nei percorsi dell'URL.
Last updated