Autor: @txambe
En el articulo de hoy vamos a revisar el tema de las
cabeceras de HTTP REFERER , para aquello que desconozcáis de que son , os pongo
el resumen que hay en la wikipedia.
Fuente: WiKipedia
HTTP referer (inicialmente un error ortográfico del término referrer)
es una
cabecera HTTP
que identifica la dirección de la página web (es decir, la
URI o
IRI)
que creó el vínculo con el recurso que está siendo solicitado. A través del
chequeo del campo referer, la nueva página web puede determinar dónde se
originó la solicitud.
En la mayoría de los casos esto significa que cuando un
usuario hace clic a un
hipervínculo
en un
navegador web,
el navegador envía una solicitud al servidor que hospeda la página web destino
y dicha solicitud incluye el campo referer, que indica la última página que el
usuario visitó (aquella donde el usuario hizo clic al vínculo).
El registro del campo referer es utilizado con propósitos
estadísticos y promocionales por los
sitios web y
servidores web, pues les
permite identificar desde qué localización están siendo visitados.
1
También es muy recomendable revisarse la
RFC 2616,
sección
14.36 que explica en detalle el HTTP Referer y en
la sesión
15.1.3 se ven las
consideraciones de seguridad que deben cumplir los agentes de usuario
como por ejemplo no incluir el Referer cuando se pase de HTTPS a HTTP por los
problemas de exposición de información sensible.
En la siguiente imagen podemos ver un encabezado HTTP y como
el navegador web esta informando al servidor , a través de referer , que esta solicitando el recurso htaccess.html
se
está realizando desde la portada de /http-headers-tool
No hay que confundirse con el
metadato HTML Referrer
que se ocupa de especificar que valores va a contener el campo de
encabezado de petición Referer, según la
política de
Referrer de la W3C que se aplique.
El Referer, al igual que el
Etag han suscitado
bastantes sospechas respecto a su uso, utilizados por afectar la privacidad de
los usuarios. Mediante el Referer puede registrarse los hábitos de navegación
de las personas a través de la recolección de los saltos realizados entre
páginas, estableciéndose patrones de comportamiento en Internet.
Al realizar una
prueba de pentesting es importante revisar cual es el Referer entre peticiones
, para lo cual podemos aplicar la prueba
de seguridad
OTG-AUTHN-001 para entender si las credenciales son
enviadas a través de un canal seguro.