CWE-293

Using Referer Field for Authentication

AI Translation Available

The referer field in HTTP requests can be easily modified and, as such, is not a valid means of message integrity checking.

Status

draft

Abstraction

variant

Likelihood

high

Affected Platforms

Technical Details

AI Translation

Common Consequences

access control

Impacts

gain privileges or assume identity

Detection Methods

automated static analysis

Potential Mitigations

Phases:

architecture and design

Descriptions:

• In order to usefully check if a given action is authorized, some means of strong authentication and method protection must be used. Use other means of authorization that cannot be simply spoofed. Possibilities include a username/password or certificate.

AI Generated Translation

Common Consequences

controllo degli accessi

Impacts

ottenere privilegi o assumere identità

Detection Methods

analisi statica automatizzata

Potential Mitigations

Phases:

architettura e design

Descriptions:

• Per verificare in modo utile se una determinata azione è autorizzata, devono essere utilizzati mezzi di forte autenticazione e metodi di protezione. Si devono impiegare altri mezzi di autorizzazione che non possano essere semplicemente falsificati. Le possibilità includono username/password o certificato.

CWE-293

Common Consequences

Impacts

Detection Methods

Potential Mitigations

Common Consequences

Impacts

Detection Methods

Potential Mitigations

Iscriviti alla newsletter