Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Referer manipulieren

Frage Entwicklung Webentwicklung

Mitglied: 64903

64903 (Level 1)

22.02.2011 um 12:08 Uhr, 4476 Aufrufe, 5 Kommentare

Hallo,

welche Möglichkeiten gibt es einen Referer zu manipulieren?
Dabei denke ich nicht an Manipulationen am Browser wie z. B. Mozilla-Erweiterung: RefControl,
sondern direkt in z. B. einer JSP. (Ich hoffe sowas geht ohne PHP?!)

Bin für jeden Tipp dankbar!
Gruß
Olli
Mitglied: Snowman25
22.02.2011 um 13:02 Uhr
Hallo 64903,

Inwiefern möchtest du den denn manipulieren? Über einen (transparenten) Proxy oder direkt von deinem Webserver aus? Vllt. auch erst am Client?
Du könntest neben einem Proxy möglicherweise noch einen Dereferrer dazwischenschieben(z.B. Anonym.to). Dann ist der Referrer praktisch unbrauchbar für die aufgerufene Seite

Gruß
Snow
Bitte warten ..
Mitglied: 64903
22.02.2011 um 13:47 Uhr
Hallo Snow,

ich möchte eine bestimmte URL aufrufen und dabei einen festen Referer mitgeben.
Grund: Der Referer wird in diesem Fall zur Authentifizierung mitverwendet.

Deshalb dachte ich mir:
"Baue einfach eine JSP o. ä. und rufe darin die URL auf und gebe den festen Referer mit."

Gruß
Olli
Bitte warten ..
Mitglied: Snowman25
22.02.2011 um 14:16 Uhr
Kurz und einfach: LASS ES!

Wenn ich dich mal hierrauf verweisen dürfte: Wikipedia - Cross-Site Request Forgery: HTTP-Referrer-Prüfung.
Wieso keine Authentifizierung über eine SessionID o.ä.? Ist zwar auch relativ unsicher, aber doch sicherer, als sich auf den Referrer zu verlassen (wobei dieser bei manchen transparenten Proxies einfach rausgeschnitten wird).

Gruß
Snow
Bitte warten ..
Mitglied: 64903
22.02.2011 um 15:12 Uhr
Also die Lösung mit der Authentifizierung ist bereits implementiert (durch einen Dienstleister!).
Dabei wird anscheinend tatsächlich der Referer mitverwendet, damit sichergestellt ist, dass
der Aufruf "von Intern" kam. Das funktioniert auch alles einwandfrei!

Nur leider ist es nicht möglich die Seite zu überwachen...!! Also kein Monitoring usw.
Hierfür suche ich nun nach einer Lösung...

Gruß
Olli
Bitte warten ..
Mitglied: Snowman25
22.02.2011 um 15:32 Uhr
Zitat von 64903:
Nur leider ist es nicht möglich die Seite zu überwachen...!! Also kein Monitoring usw.
Hierfür suche ich nun nach einer Lösung...

Ich dachte, du wolltest den Referrer als Authentifizierungswerkzeug verwenden. Jetzt zum Monitoring...
Wenn du selbst Zugriff auf die aufrufenden Sites und den authentifizierenden Server hast, dann könntest du alle Links, die eigentlich zu dem Authentifikation benötigenden Server auf eine andere Adresse verweisen, die von dort aus zu dem eigentlich Ziel weiterleitet. Hier muss der Zielserver allerdings alle Referrer einer bestimmten Domain (dein Ausgangs- und Umleitungsserver) akzeptieren.
Auf der zwischengeschalteten Umleitungsseite kannst du wiederrum mitprotokollieren (z.B. per Script oder über Zugriffslogs auf eine 1x1-Pixel Grafik), wer die Seite besucht hat (User bekommt vom Besuch nix mit, da er sofort weitergeleitet wird).
Problem hierbei: Öffnet jemand von außen deine Weiterleitungsseite, dann ist der Referrer für den Zielserver natürlich wieder akzeptabel. Insofern müsstest du diese Zwischenseite wieder absichern.

Ausgangssituation:
+------------------+ 
| Ausgansseite     | 
|   (Start-        +--------------------------------+ 
|       server)    |                                | 
|     [a.b.com]    |                                | 
+------------------+                                | 
                                                +---+--------------+ 
                                                |    Zielseite     | 
                                                |    (Ziel-        | 
                                                |       server)    | 
                                                | [checkt a.b.com] | 
                                                +------------------+
Zielsituation:
+------------------+ 
| Ausgansseite     | 
|   (Start-        +-----------+   +----------------+ 
|       server)    |           |   |                | 
|     [a.b.com]    |           |   |                | 
+------------------+           |   |                | 
                        +------+---+----+           | 
                        | Zwischenseite |           | 
                        |  (Start-      |       +---+--------------+ 
                        |      server)  |       |    Zielseite     | 
                        |  [a.b.com]    |       |    (Ziel-        | 
                        +---------------+       |       server)    | 
                            ´|`                 | [checkt a.b.com] | 
                             |                  +------------------+ 
                    Enthält Monitoring bzw.  
                    Logging-Mechanismus.

Gruß
Snow
Bitte warten ..
Ähnliche Inhalte
Windows Server
ReFS oder NTFS
Frage von tantalosWindows Server3 Kommentare

Hallo, seit Server 2012 besteht die Möglichkeit, Volumes mit ReFS zu formatieren. Ich bin etwas zögerlich, da ich mir ...

Windows Server
NTFS zu REFs konvertieren
Frage von makaroniWindows Server4 Kommentare

Hallo zusammen, ich habe auf einem FS (Server 2012 R2) mehrere Laufwerke mit knapp 1,8 TB Daten. Für diese ...

Batch & Shell
Probleme mit Powershell skript und REF
Frage von Malli88Batch & Shell1 Kommentar

Hallo Kollegen, ich habe ein eigentlich simples Powershell Skript welches mit Word ein RTF in ein PDF Konverieren soll. ...

Windows 10
ReFS in Windows 10 Home
Frage von anmelderWindows 104 Kommentare

Ich habe gerade die aktuellste Win 10 Home DVD ausprobiert und über Shift F10 die Eingabeaufforderung gestartet. Obwohl in ...

Neue Wissensbeiträge
Microsoft

Update KB4073578 für AMD CPU (Spectre und Meltdown Lücke)

Information von sabines vor 3 StundenMicrosoft

Wegen Problemen (BOSD, nicht startende PCs) wurde das Update KB4056897 und KB4056894 für AMD CPUs zurückgezogen. Dieses Update KB4073578 ...

Mac OS X

MacOS wo ist die Tilde ?

Tipp von Alchimedes vor 16 StundenMac OS X1 Kommentar

Hallo, ich hab eine MacOS qwertz Keyboard auf US Layout umgestellt da die Sonderzeichen besser erreichbar sind. Leider fehlt ...

Datenschutz

Weitere Informationen zum Sicherheitsproblem BeA

Information von Penny.Cilin vor 23 StundenDatenschutz

Im folgenden ein weiterer Bericht über die Sicherheitsprobleme von Bea. Fataler Konstruktionsfehler im besonderen elektronischen Anwaltspostfach Gruss Penny

Windows 10

Systemdienste behalten nach Win10 inplace-Upgrade nicht die ggf. modifizierte Startart bei

Tipp von DerWoWusste vor 1 TagWindows 103 Kommentare

Stellt Euch vor, Ihr habt ein Win10 System und modifiziert dort die Startart von Systemdiensten. Zum Beispiel wollt Ihr ...

Heiß diskutierte Inhalte
Batch & Shell
Anmeldevorgang für Informatikraum (Schule) unter Windows
Frage von IngenieursBatch & Shell24 Kommentare

Hey zusammen, ich werde in naher Zukunft den Informatik Raum meiner jetzigen Schule von dem aktuellen Betreiber übernehmen (Vertrag ...

Windows 10
Netbook erkennt Soundkarte nicht - keinerlei Info zum Hersteller und Modell vom Netbook und Hardware bekannt
Frage von fyrb38Windows 1019 Kommentare

Guten Tag, meine Schwester reist in einigen Wochen für ein paar Monate ins Ausland und hat sich dafür ein ...

Batch & Shell
AD-Abfrage in Batchdatei und Ergebnis als Variable verarbeiten
gelöst Frage von Winfried-HHBatch & Shell19 Kommentare

Hallo in die Runde! Ich habe eine Ergänzungsfrage zu einem alten Thread von mir. Ausgangslage ist die Batchdatei, die ...

Microsoft Office
Deaktivieren von Startbildschirm und Backstage-Ansicht in Office 2016 per Batch-Datei
Anleitung von SarekHLMicrosoft Office17 Kommentare

Guten Morgen zusammen! Ich habe mir gestern (auch mit Hilfe dieses Boards) ein Script gebastelt, um in Office 2016 ...