Referer manipulieren

Mitglied: 64903

64903

22.02.2011 um 12:08 Uhr, 5091 Aufrufe, 5 Kommentare

Hallo,

welche Möglichkeiten gibt es einen Referer zu manipulieren?
Dabei denke ich nicht an Manipulationen am Browser wie z. B. Mozilla-Erweiterung: RefControl,
sondern direkt in z. B. einer JSP. (Ich hoffe sowas geht ohne PHP?!)

Bin für jeden Tipp dankbar!
Gruß
Olli
Mitglied: Snowman25
22.02.2011 um 13:02 Uhr
Hallo @64903,

Inwiefern möchtest du den denn manipulieren? Über einen (transparenten) Proxy oder direkt von deinem Webserver aus? Vllt. auch erst am Client?
Du könntest neben einem Proxy möglicherweise noch einen Dereferrer dazwischenschieben(z.B. Anonym.to). Dann ist der Referrer praktisch unbrauchbar für die aufgerufene Seite

Gruß
Snow
Bitte warten ..
Mitglied: 64903
64903 (Level 1)
22.02.2011 um 13:47 Uhr
Hallo Snow,

ich möchte eine bestimmte URL aufrufen und dabei einen festen Referer mitgeben.
Grund: Der Referer wird in diesem Fall zur Authentifizierung mitverwendet.

Deshalb dachte ich mir:
"Baue einfach eine JSP o. ä. und rufe darin die URL auf und gebe den festen Referer mit."

Gruß
Olli
Bitte warten ..
Mitglied: Snowman25
22.02.2011 um 14:16 Uhr
Kurz und einfach: LASS ES!

Wenn ich dich mal hierrauf verweisen dürfte: Wikipedia - Cross-Site Request Forgery: HTTP-Referrer-Prüfung.
Wieso keine Authentifizierung über eine SessionID o.ä.? Ist zwar auch relativ unsicher, aber doch sicherer, als sich auf den Referrer zu verlassen (wobei dieser bei manchen transparenten Proxies einfach rausgeschnitten wird).

Gruß
Snow
Bitte warten ..
Mitglied: 64903
64903 (Level 1)
22.02.2011 um 15:12 Uhr
Also die Lösung mit der Authentifizierung ist bereits implementiert (durch einen Dienstleister!).
Dabei wird anscheinend tatsächlich der Referer mitverwendet, damit sichergestellt ist, dass
der Aufruf "von Intern" kam. Das funktioniert auch alles einwandfrei!

Nur leider ist es nicht möglich die Seite zu überwachen...!! Also kein Monitoring usw.
Hierfür suche ich nun nach einer Lösung...

Gruß
Olli
Bitte warten ..
Mitglied: Snowman25
22.02.2011 um 15:32 Uhr
Zitat von @64903:
Nur leider ist es nicht möglich die Seite zu überwachen...!! Also kein Monitoring usw.
Hierfür suche ich nun nach einer Lösung...

Ich dachte, du wolltest den Referrer als Authentifizierungswerkzeug verwenden. Jetzt zum Monitoring...
Wenn du selbst Zugriff auf die aufrufenden Sites und den authentifizierenden Server hast, dann könntest du alle Links, die eigentlich zu dem Authentifikation benötigenden Server auf eine andere Adresse verweisen, die von dort aus zu dem eigentlich Ziel weiterleitet. Hier muss der Zielserver allerdings alle Referrer einer bestimmten Domain (dein Ausgangs- und Umleitungsserver) akzeptieren.
Auf der zwischengeschalteten Umleitungsseite kannst du wiederrum mitprotokollieren (z.B. per Script oder über Zugriffslogs auf eine 1x1-Pixel Grafik), wer die Seite besucht hat (User bekommt vom Besuch nix mit, da er sofort weitergeleitet wird).
Problem hierbei: Öffnet jemand von außen deine Weiterleitungsseite, dann ist der Referrer für den Zielserver natürlich wieder akzeptabel. Insofern müsstest du diese Zwischenseite wieder absichern.

Ausgangssituation:

Zielsituation:


Gruß
Snow
Bitte warten ..
Heiß diskutierte Inhalte
Linux Netzwerk
NAS läßt sich unter Ubuntu-Server nicht anpingen, unter Windows jedoch schon?!
gelöst dr.zetoVor 1 TagFrageLinux Netzwerk53 Kommentare

Hallo, ich habe das Problem, dass ich eine Synology-NAS unter einem Ubuntu-Server nicht pingen kann. Unter einem Windows-Client jedoch wird der Ping beantwortet. Hierzu ...

Netzwerke
Suche aktuelle Fernwartungsmöglichkeiten ab 2021?
watchdog76Vor 1 TagFrageNetzwerke10 Kommentare

Hallo, das ist für viele vermutlich ein uraltes Thema und es gibt schon viele alte Threads, weshalb ich trotzdem einen eneue Thread geschrieben habe. ...

CPU, RAM, Mainboards
Wohin geht die Zukunft?
cramtroniVor 1 TagFrageCPU, RAM, Mainboards6 Kommentare

Guten Tag zusammen, wir sind gerade dabei, uns eine neue IT-Infrastruktur anzuschaffen, bisher haben wir 2 physische Server, auf denen unsere 9 virtuellen Server ...

Batch & Shell
Accounts nach 6 Monaten löschen
lordofremixesVor 18 StundenFrageBatch & Shell6 Kommentare

Hallo Freunde der Sonne, tatsächlich bin ich jetzt kein ITler mehr, sondern so ein IT Datenschutztyp ITler. Muss leider die Kunden immer darauf hinweisen, ...

Drucker und Scanner
Erfahrungen mit Triumph-Adler
gelöst IT-SpitzbubeVor 9 StundenFrageDrucker und Scanner10 Kommentare

Hi, hat jemand von Euch bereits Erfahrungen mit Triumph-Adler im Zusammenhang mit MFPs gemacht. Wenn ja schaut Ihr hierauf positiv oder negativ zurück. Lieben ...

Netzwerke
DHCP IP passt nicht zu MAC-Adresse
KirschiVor 14 StundenFrageNetzwerke16 Kommentare

Hallo zusammen, wir haben einen Drucker dem die feste IP 192.168.0.10 per DHCP zugewiesen wird. Ebenso existiert ein PC, der die IP 192.168.0.19 auf ...

Multimedia & Zubehör
Suche Handy im Hallen und Außenbereich
gelöst favoriten-listeVor 1 TagFrageMultimedia & Zubehör6 Kommentare

Hallo Für die Produktion suchen wir aktuell Handy. Es reicht ein normales Tasten Telefon. ( Es muss kein Smartphone sein! ) Es sollte Robust ...

Server-Hardware
10" Server - für Netzwerkschrank
snop123Vor 1 TagFrageServer-Hardware9 Kommentare

Hallo, im Bereich der Heimnetzwerk setzen sich immer mehr 10" Zoll Netzwerkschränke durch. Ich möchte hier keine Diskussion für das für und wider im ...