Spoofing de User-Agent
O que é Spoofing de User-Agent?
Spoofing de User-AgentFalsificacao do cabecalho User-Agent ou dos Client Hints associados para que um pedido pareca vir de um navegador, dispositivo ou sistema operativo diferente do real.
O spoofing de User-Agent consiste em alterar a string HTTP User-Agent (e Client Hints relacionados, como Sec-CH-UA) enviada pelo cliente para disfarcar o navegador, versao ou plataforma. Usos legitimos incluem testar layouts responsivos, depurar compatibilidade e aceder a conteudo bloqueado por verificacoes obsoletas. Os atacantes usam a mesma tecnica para contornar detecao de bots fraca, imitar o Googlebot e obter conteudo diferente, ultrapassar defesas baseadas em fingerprinting ou explorar logica condicional no servidor. Como o cabecalho e totalmente controlado pelo cliente, as equipas de seguranca tratam-no como entrada nao confiavel e combinam-no com TLS fingerprinting, desafios JavaScript e analise comportamental.
● Exemplos
- 01
Bot de scraping a enviar User-Agent: Mozilla/5.0 (compatible; Googlebot/2.1) para aceder a conteudo normalmente camuflado para SEO.
- 02
Pentester a usar Match and Replace do Burp Suite para testar endpoints moveis a partir de um navegador desktop.
● Perguntas frequentes
O que é Spoofing de User-Agent?
Falsificacao do cabecalho User-Agent ou dos Client Hints associados para que um pedido pareca vir de um navegador, dispositivo ou sistema operativo diferente do real. Pertence à categoria Segurança de aplicações da cibersegurança.
O que significa Spoofing de User-Agent?
Falsificacao do cabecalho User-Agent ou dos Client Hints associados para que um pedido pareca vir de um navegador, dispositivo ou sistema operativo diferente do real.
Como funciona Spoofing de User-Agent?
O spoofing de User-Agent consiste em alterar a string HTTP User-Agent (e Client Hints relacionados, como Sec-CH-UA) enviada pelo cliente para disfarcar o navegador, versao ou plataforma. Usos legitimos incluem testar layouts responsivos, depurar compatibilidade e aceder a conteudo bloqueado por verificacoes obsoletas. Os atacantes usam a mesma tecnica para contornar detecao de bots fraca, imitar o Googlebot e obter conteudo diferente, ultrapassar defesas baseadas em fingerprinting ou explorar logica condicional no servidor. Como o cabecalho e totalmente controlado pelo cliente, as equipas de seguranca tratam-no como entrada nao confiavel e combinam-no com TLS fingerprinting, desafios JavaScript e analise comportamental.
Como se defender contra Spoofing de User-Agent?
As defesas contra Spoofing de User-Agent costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Spoofing de User-Agent?
Nomes alternativos comuns: Spoofing de UA.
● Termos relacionados
- appsec№ 468
Navegador headless
Navegador web executado sem interface grafica e controlado por codigo, usado em testes, scraping e automacao de seguranca.
- attacks№ 232
Credential stuffing
Ataque automatizado que reenvia grandes listas de pares utilizador/palavra-passe vazadas de um serviço contra outros, explorando a reutilização de credenciais.
- appsec№ 942
robots.txt
Ficheiro de texto na raiz do site que informa os crawlers bem-comportados sobre que caminhos podem ou nao ir buscar, formalizado pelo RFC 9309 do IETF.