domingo, 6 de noviembre de 2016

Fundamentals: HTTP – REFERER



Autor: @txambe

En el articulo de hoy vamos a revisar el tema de las cabeceras de HTTP REFERER , para aquello que desconozcáis de que son , os pongo el resumen que hay en la wikipedia.

Fuente:  WiKipedia

HTTP referer (inicialmente un error ortográfico del término referrer) es una cabecera HTTP que identifica la dirección de la página web (es decir, la URI o IRI) que creó el vínculo con el recurso que está siendo solicitado. A través del chequeo del campo referer, la nueva página web puede determinar dónde se originó la solicitud.

En la mayoría de los casos esto significa que cuando un usuario hace clic a un hipervínculo en un navegador web, el navegador envía una solicitud al servidor que hospeda la página web destino y dicha solicitud incluye el campo referer, que indica la última página que el usuario visitó (aquella donde el usuario hizo clic al vínculo).

El registro del campo referer es utilizado con propósitos estadísticos y promocionales por los sitios web y servidores web, pues les permite identificar desde qué localización están siendo visitados.1
También es muy recomendable revisarse la RFC 2616, sección 14.36  que explica en detalle el HTTP Referer y en la sesión 15.1.3 se ven las  consideraciones de seguridad que deben cumplir los agentes de usuario como por ejemplo no incluir el Referer cuando se pase de HTTPS a HTTP por los problemas de exposición de información sensible.

En la siguiente imagen podemos ver un encabezado HTTP y como el navegador web esta informando al servidor , a través de referer ,  que esta solicitando el recurso htaccess.html  
se está realizando desde la portada de  /http-headers-tool


No hay que confundirse con el  metadato HTML Referrer  que se ocupa de especificar que valores va a contener el campo de encabezado  de petición Referer, según la política de Referrer de la W3C  que se aplique. El Referer, al igual que el Etag  han suscitado bastantes sospechas respecto a su uso, utilizados por afectar la privacidad de los usuarios. Mediante el Referer puede registrarse los hábitos de navegación de las personas a través de la recolección de los saltos realizados entre páginas, estableciéndose patrones de comportamiento en Internet.

  Al realizar una prueba de pentesting es importante revisar cual es el Referer entre peticiones ,  para lo cual podemos aplicar la prueba de seguridad  OTG-AUTHN-001  para entender si las credenciales son enviadas a través de un canal seguro.

No hay comentarios:

Publicar un comentario