Jump to content
itlstl

Sec-ch-ua header

Recommended Posts

Posted

Salutare,

 

Am o decizie de luat si anume daca blocarea requesturilor cu headerul sec-ch-ua empty este o decizie corecta sau gresita. Pana in acest moment nu am gasit vreun atac care ar implica empty value in sec-ch-ua, dar totusi nu inteleg de ce anumite requesturi vin cu acest header gol si cu headerul de user agent. Ma asteptam ca daca tot trimite sec-ch-ua browserul/mobilul etc sa il trimita si cu o valoare.

 

Aveti ceva sugestii / materiale legate de atacuri/probleme in acest header? Punctul meu de vedere at the moment e ca ar trebui ignorat si sa nu fie nimic blocat.

Posted

De exemplu, Chromium care vine bundled cu Burp Suite trimite headerele astea implicit:

 

Sec-Ch-Ua: "Chromium";v="107", "Not=A?Brand";v="24"
Sec-Ch-Ua-Platform: "Windows"
Sec-Ch-Ua-Mobile: ?0

 

Deci presupun ca browserele bazate pe Chromium le trimit. Daca nu le procesezi tu server-side nu ai de ce sa iti faci griji. 

  • Like 1
  • Upvote 1
Posted

Da, din ce am citit sec-ch-* doreste sa sparga headerul de User-Agent in mai multe headere. Dar userii legiti nu sunt aware ca il trimit cu informatii sau empty value si nici serverele nu cred ca le proceseaza, sau nu am reusit sa dau de cineva care sa mi zica concret da/nu. 

Cel mai probabil le voi ignora, dar voiam sa ma asigur putin si sa intreb pe aici daca stie cineva ceva atac concret ce pe mine m ar depasi legat de aceste headere. 

@YKelyan din pacate nu pot sa pun un request, sunt requesturi normale venite de pe orice tip de device mobil/laptop etc iar in anumite situatii vin requesturile si cu aceste headere (uneori empty value - ceea ce ridica alerta, uneori cu valoarea completata corect - semn ca in piata dezvoltatorii de browsere/device-uri lucreaza la implementarea acestor headere, dar inca nu suntem acolo sa fie folosite world wide).

Asa cum a zis si Nytro decizia o sa fie sa le ignoram. Thx all :D

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.



×
×
  • Create New...