CWE ID: 293
Name: Using Referer Field for Authentication
Das Referer-Feld in HTTP-Anfragen lässt sich leicht modifizieren und stellt daher kein valides Mittel zur Message Integrity Checking dar.
Effektivität: Unknown
Beschreibung: Um zuverlässig zu prüfen, ob eine bestimmte Aktion autorisiert ist, müssen starke Authentifizierungsmethoden und Method Protection eingesetzt werden. Es sollten andere Authentifizierungsmechanismen verwendet werden, die nicht einfach durch Spoofing umgangen werden können. Mögliche Optionen sind beispielsweise ein Username/Password oder ein Certificate.
Das Referer-Feld in HTML-Requests kann von bösartigen Benutzern problemlos modifiziert werden, was es als Mittel zur Überprüfung der Gültigkeit der jeweiligen Anfrage unbrauchbar macht.
