Usurpation d'User-Agent
Qu'est-ce que Usurpation d'User-Agent ?
Usurpation d'User-AgentFalsification de l'en-tete User-Agent ou des Client Hints associes pour qu'une requete semble provenir d'un autre navigateur, appareil ou systeme d'exploitation qu'en realite.
L'usurpation d'User-Agent consiste a modifier la chaine HTTP User-Agent (ainsi que les Client Hints comme Sec-CH-UA) envoyee par un client pour deguiser le navigateur, la version ou la plateforme. Les usages legitimes incluent le test de mises en page responsives, le debogage de compatibilite et l'acces a du contenu bloque par d'anciens controles. Les attaquants utilisent la meme technique pour contourner une detection de bots faible, se faire passer pour Googlebot afin d'obtenir un contenu different, esquiver les defenses basees sur le fingerprinting ou exploiter la logique conditionnelle cote serveur. Comme l'en-tete est entierement controle par le client, les equipes securite la traitent comme une entree non fiable et la combinent avec le TLS fingerprinting, des defis JavaScript et de l'analyse comportementale.
● Exemples
- 01
Bot de scraping envoyant User-Agent: Mozilla/5.0 (compatible; Googlebot/2.1) pour acceder a du contenu cloak SEO.
- 02
Pentester utilisant Match and Replace de Burp Suite pour tester des endpoints mobiles depuis un navigateur de bureau.
● Questions fréquentes
Qu'est-ce que Usurpation d'User-Agent ?
Falsification de l'en-tete User-Agent ou des Client Hints associes pour qu'une requete semble provenir d'un autre navigateur, appareil ou systeme d'exploitation qu'en realite. Cette notion relève de la catégorie Sécurité applicative en cybersécurité.
Que signifie Usurpation d'User-Agent ?
Falsification de l'en-tete User-Agent ou des Client Hints associes pour qu'une requete semble provenir d'un autre navigateur, appareil ou systeme d'exploitation qu'en realite.
Comment fonctionne Usurpation d'User-Agent ?
L'usurpation d'User-Agent consiste a modifier la chaine HTTP User-Agent (ainsi que les Client Hints comme Sec-CH-UA) envoyee par un client pour deguiser le navigateur, la version ou la plateforme. Les usages legitimes incluent le test de mises en page responsives, le debogage de compatibilite et l'acces a du contenu bloque par d'anciens controles. Les attaquants utilisent la meme technique pour contourner une detection de bots faible, se faire passer pour Googlebot afin d'obtenir un contenu different, esquiver les defenses basees sur le fingerprinting ou exploiter la logique conditionnelle cote serveur. Comme l'en-tete est entierement controle par le client, les equipes securite la traitent comme une entree non fiable et la combinent avec le TLS fingerprinting, des defis JavaScript et de l'analyse comportementale.
Comment se défendre contre Usurpation d'User-Agent ?
Les défenses contre Usurpation d'User-Agent combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Usurpation d'User-Agent ?
Noms alternatifs courants : Spoofing UA.
● Termes liés
- appsec№ 468
Navigateur sans tete
Navigateur web qui s'execute sans interface graphique et est pilote par programmation, utilise pour les tests, le scraping et l'automatisation de securite.
- attacks№ 232
Bourrage d'identifiants
Attaque automatisée qui rejoue d'énormes listes de couples identifiant/mot de passe issues d'une fuite contre d'autres services, exploitant la réutilisation des mots de passe.
- appsec№ 942
robots.txt
Fichier texte place a la racine du site qui indique aux robots respectueux les chemins qu'ils peuvent ou non recuperer, formalise par le RFC 9309 de l'IETF.