User-Agent-Spoofing
Was ist User-Agent-Spoofing?
User-Agent-SpoofingFalschen des User-Agent-Headers oder zugehoriger Client Hints, damit eine Anfrage von einem anderen Browser, Gerat oder Betriebssystem zu stammen scheint als tatsachlich.
User-Agent-Spoofing bezeichnet das Andern des HTTP-User-Agent-Strings (und zugehoriger Client Hints wie Sec-CH-UA), den ein Client sendet, um Browser, Version oder Plattform zu verschleiern. Legitime Anwendungen sind das Testen responsiver Layouts, Kompatibilitats-Debugging und der Zugriff auf Inhalte, die durch veraltete Browser-Checks gesperrt sind. Angreifer nutzen die Technik, um schwache Bot-Erkennung zu umgehen, sich als Googlebot auszugeben, fingerprint-basierte Abwehr zu uberlisten oder serverseitige Bedingungslogik auszunutzen. Da der Header vollstandig vom Client kontrolliert wird, behandeln Security-Teams ihn als unsicheren Input und kombinieren ihn mit TLS-Fingerprinting, JavaScript-Challenges und Verhaltensanalyse.
● Beispiele
- 01
Scraping-Bot, der User-Agent: Mozilla/5.0 (compatible; Googlebot/2.1) sendet, um an fur SEO cloaked Inhalte zu kommen.
- 02
Pentester, der mit Burp Suite Match and Replace mobile Endpoints aus einem Desktop-Browser testet.
● Häufige Fragen
Was ist User-Agent-Spoofing?
Falschen des User-Agent-Headers oder zugehoriger Client Hints, damit eine Anfrage von einem anderen Browser, Gerat oder Betriebssystem zu stammen scheint als tatsachlich. Es gehört zur Kategorie Anwendungssicherheit der Cybersicherheit.
Was bedeutet User-Agent-Spoofing?
Falschen des User-Agent-Headers oder zugehoriger Client Hints, damit eine Anfrage von einem anderen Browser, Gerat oder Betriebssystem zu stammen scheint als tatsachlich.
Wie funktioniert User-Agent-Spoofing?
User-Agent-Spoofing bezeichnet das Andern des HTTP-User-Agent-Strings (und zugehoriger Client Hints wie Sec-CH-UA), den ein Client sendet, um Browser, Version oder Plattform zu verschleiern. Legitime Anwendungen sind das Testen responsiver Layouts, Kompatibilitats-Debugging und der Zugriff auf Inhalte, die durch veraltete Browser-Checks gesperrt sind. Angreifer nutzen die Technik, um schwache Bot-Erkennung zu umgehen, sich als Googlebot auszugeben, fingerprint-basierte Abwehr zu uberlisten oder serverseitige Bedingungslogik auszunutzen. Da der Header vollstandig vom Client kontrolliert wird, behandeln Security-Teams ihn als unsicheren Input und kombinieren ihn mit TLS-Fingerprinting, JavaScript-Challenges und Verhaltensanalyse.
Wie schützt man sich gegen User-Agent-Spoofing?
Schutzmaßnahmen gegen User-Agent-Spoofing kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für User-Agent-Spoofing?
Übliche alternative Bezeichnungen: UA-Spoofing.
● Verwandte Begriffe
- appsec№ 468
Headless-Browser
Ein Webbrowser, der ohne grafische Oberflache lauft und programmgesteuert wird, haufig fur Tests, Scraping und Sicherheitsautomatisierung eingesetzt.
- attacks№ 232
Credential Stuffing
Automatisierter Angriff, der riesige Listen aus geleakten Benutzer/Passwort-Paaren gegen andere Dienste abspielt und Passwort-Wiederverwendung ausnutzt, um Accounts zu übernehmen.
- appsec№ 942
robots.txt
Textdatei im Site-Root, die wohlerzogenen Webcrawlern mitteilt, welche Pfade sie abrufen durfen, formalisiert in IETF RFC 9309.