64903
64903
22.02.2011
view6314
view5
1
Beitrags-Menü
  • Ausdrucken
  • Internen Beitrags-Link kopieren
  • Externen Beitrags-Link kopieren

Referer manipulieren

FrageWebentwicklungEntwicklung
Hallo,

welche Möglichkeiten gibt es einen Referer zu manipulieren?
Dabei denke ich nicht an Manipulationen am Browser wie z. B. Mozilla-Erweiterung: RefControl,
sondern direkt in z. B. einer JSP. (Ich hoffe sowas geht ohne PHP?!)

Bin für jeden Tipp dankbar!
Gruß
Olli
Share articleTeilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilen

Content-ID: 161301

Url: https://administrator.de/forum/referer-manipulieren-161301.html

Ausgedruckt am: 25.04.2025 um 19:04 Uhr

5 Kommentare
Neuester Kommentar
Goto Top
Snowman25
Snowman25 22.02.2011 um 13:02:06 Uhr
Goto Top
Hallo @64903,

Inwiefern möchtest du den denn manipulieren? Über einen (transparenten) Proxy oder direkt von deinem Webserver aus? Vllt. auch erst am Client?
Du könntest neben einem Proxy möglicherweise noch einen Dereferrer dazwischenschieben(z.B. Anonym.to). Dann ist der Referrer praktisch unbrauchbar für die aufgerufene Seite

Gruß
Snow
64903
64903 22.02.2011 um 13:47:18 Uhr
Goto Top
Hallo Snow,

ich möchte eine bestimmte URL aufrufen und dabei einen festen Referer mitgeben.
Grund: Der Referer wird in diesem Fall zur Authentifizierung mitverwendet.

Deshalb dachte ich mir:
"Baue einfach eine JSP o. ä. und rufe darin die URL auf und gebe den festen Referer mit."

Gruß
Olli
Snowman25
Snowman25 22.02.2011 um 14:16:47 Uhr
Goto Top
Kurz und einfach: LASS ES!

Wenn ich dich mal hierrauf verweisen dürfte: Wikipedia - Cross-Site Request Forgery: HTTP-Referrer-Prüfung.
Wieso keine Authentifizierung über eine SessionID o.ä.? Ist zwar auch relativ unsicher, aber doch sicherer, als sich auf den Referrer zu verlassen (wobei dieser bei manchen transparenten Proxies einfach rausgeschnitten wird).

Gruß
Snow
64903
64903 22.02.2011 um 15:12:15 Uhr
Goto Top
Also die Lösung mit der Authentifizierung ist bereits implementiert (durch einen Dienstleister!).
Dabei wird anscheinend tatsächlich der Referer mitverwendet, damit sichergestellt ist, dass
der Aufruf "von Intern" kam. Das funktioniert auch alles einwandfrei!

Nur leider ist es nicht möglich die Seite zu überwachen...!! Also kein Monitoring usw.
Hierfür suche ich nun nach einer Lösung...

Gruß
Olli
Snowman25
Snowman25 22.02.2011 um 15:32:49 Uhr
Goto Top
Zitat von @64903:
Nur leider ist es nicht möglich die Seite zu überwachen...!! Also kein Monitoring usw.
Hierfür suche ich nun nach einer Lösung...

Ich dachte, du wolltest den Referrer als Authentifizierungswerkzeug verwenden. Jetzt zum Monitoring...
Wenn du selbst Zugriff auf die aufrufenden Sites und den authentifizierenden Server hast, dann könntest du alle Links, die eigentlich zu dem Authentifikation benötigenden Server auf eine andere Adresse verweisen, die von dort aus zu dem eigentlich Ziel weiterleitet. Hier muss der Zielserver allerdings alle Referrer einer bestimmten Domain (dein Ausgangs- und Umleitungsserver) akzeptieren.
Auf der zwischengeschalteten Umleitungsseite kannst du wiederrum mitprotokollieren (z.B. per Script oder über Zugriffslogs auf eine 1x1-Pixel Grafik), wer die Seite besucht hat (User bekommt vom Besuch nix mit, da er sofort weitergeleitet wird).
Problem hierbei: Öffnet jemand von außen deine Weiterleitungsseite, dann ist der Referrer für den Zielserver natürlich wieder akzeptabel. Insofern müsstest du diese Zwischenseite wieder absichern.

Ausgangssituation:
+------------------+
| Ausgansseite     |
|   (Start-        +--------------------------------+
|       server)    |                                |
|     [a.b.com]    |                                |
+------------------+                                |
                                                    |
                                                    |
                                                +---+--------------+
                                                |    Zielseite     |
                                                |    (Ziel-        |
                                                |       server)    |
                                                | [checkt a.b.com] |
                                                +------------------+

Zielsituation:<code type="plain>+------------------+
| Ausgansseite |
| (Start- +-----------+ +----------------+
| server) | | | |
| [a.b.com] | | | |
+------------------+ | | |
+------+---+----+ |
| Zwischenseite | |
| (Start- | +---+--------------+
| server) | | Zielseite |
| [a.b.com] | | (Ziel- |
+---------------+ | server) |
´|` | [checkt a.b.com] |
| +------------------+
Enthält Monitoring bzw.
Logging-Mechanismus.


Gruß
Snow
FrageWebentwicklungEntwicklung
Heiß diskutiert
MysticFoxDEWindows 11 - Unerträgliche Ressourcenverschwendung - groteske RAM ReservierungenMysticFoxDE - 93 KommentareMaba90Batch oder PS Skript startet Programm nur als Prozess ohne GUIMaba90 - 45 KommentarekreuzbergerGängelung, neu erfunden. Diesmal: SYNOLOGYkreuzberger - 37 Kommentarepsimon87Serverschrank im Garten (in der "Gartenhütte")psimon87 - 19 KommentareManuManu2021Handelsregister.de nicht aufrufbarManuManu2021 - 16 KommentareTenniscrackUSB Stick mit Windows 2 Go erstellenTenniscrack - 15 Kommentaregerry56Netzwerk-Problem mit unterschiedlichen Betriebssystemengerry56 - 15 KommentareYan2021Mauszeiger springt während Backup od. Programm-Installation etcYan2021 - 14 KommentarekreuzbergerLTFS und LTO5-Laufwerke im DELL TL4000kreuzberger - 14 KommentareYan2021Thunderbolt USB-C auf USB-A Stecker bessere Lösung?Yan2021 - 14 KommentarespinnifexMein Explorer bringt mich zum Wahnsinn (Einstellungen merken)spinnifex - 14 KommentarefloriaugsBackup Cloud - Empfehlungfloriaugs - 14 KommentareNominisHeimnetzwerk - Aufteilung aktualisierenNominis - 13 Kommentare