• CWE-293: Using Referer Field for Authentication

Das Referer-Feld in HTTP-Anfragen lässt sich leicht modifizieren und stellt daher kein valides Mittel zur Message Integrity Checking dar.

CWE-293: Using Referer Field for Authentication

CWE ID: 293
Name: Using Referer Field for Authentication

Beschreibung

Das Referer-Feld in HTTP-Anfragen lässt sich leicht modifizieren und stellt daher kein valides Mittel zur Message Integrity Checking dar.

Risikominderungsmaßnahmen

Maßnahme (Architecture and Design)

Effektivität: Unknown
Beschreibung: Um zuverlässig zu prüfen, ob eine bestimmte Aktion autorisiert ist, müssen starke Authentifizierungsmethoden und Method Protection eingesetzt werden. Es sollten andere Authentifizierungsmechanismen verwendet werden, die nicht einfach durch Spoofing umgangen werden können. Mögliche Optionen sind beispielsweise ein Username/Password oder ein Certificate.

Detaillierter Hintergrund

Das Referer-Feld in HTML-Requests kann von bösartigen Benutzern problemlos modifiziert werden, was es als Mittel zur Überprüfung der Gültigkeit der jeweiligen Anfrage unbrauchbar macht.

Ist Ihre IT-Infrastruktur betroffen?

Schwachstellen wie CWE-293: Using Referer Field for Authentication können von Angreifern ausgenutzt werden. Unsere IT-Sicherheitsexperten in Salzburg helfen Ihnen, Verwundbarkeiten in Ihrer Infrastruktur zu identifizieren und zu beheben.

Schwachstellen-Scan anfragen Kostenlos beraten lassen