User-Agent 伪造
User-Agent 伪造 是什么?
User-Agent 伪造伪造 User-Agent 头或相关 Client Hints,使请求看似来自与实际不同的浏览器、设备或操作系统。
User-Agent 伪造是指修改 HTTP User-Agent 字符串(以及 Sec-CH-UA 等相关 Client Hints),让客户端伪装成不同的浏览器、版本或平台。合法用途包括测试响应式布局、排查兼容性问题、访问基于过时浏览器校验而被限制的内容。攻击者利用同样技术绕过较弱的机器人检测、伪装成 Googlebot 以获取不同内容、规避基于指纹的防御并利用服务端的条件逻辑。由于该头部完全由客户端控制,安全团队将其视为不可信输入,并结合 TLS 指纹、JavaScript 挑战和行为分析来识别自动化流量。
● 示例
- 01
爬虫发送 User-Agent: Mozilla/5.0 (compatible; Googlebot/2.1),以获取通常为 SEO 隐藏的内容。
- 02
渗透测试人员通过 Burp Suite 的 Match and Replace,从桌面浏览器测试仅限移动端的接口。
● 常见问题
User-Agent 伪造 是什么?
伪造 User-Agent 头或相关 Client Hints,使请求看似来自与实际不同的浏览器、设备或操作系统。 它属于网络安全的 应用安全 分类。
User-Agent 伪造 是什么意思?
伪造 User-Agent 头或相关 Client Hints,使请求看似来自与实际不同的浏览器、设备或操作系统。
User-Agent 伪造 是如何工作的?
User-Agent 伪造是指修改 HTTP User-Agent 字符串(以及 Sec-CH-UA 等相关 Client Hints),让客户端伪装成不同的浏览器、版本或平台。合法用途包括测试响应式布局、排查兼容性问题、访问基于过时浏览器校验而被限制的内容。攻击者利用同样技术绕过较弱的机器人检测、伪装成 Googlebot 以获取不同内容、规避基于指纹的防御并利用服务端的条件逻辑。由于该头部完全由客户端控制,安全团队将其视为不可信输入,并结合 TLS 指纹、JavaScript 挑战和行为分析来识别自动化流量。
如何防御 User-Agent 伪造?
针对 User-Agent 伪造 的防御通常结合技术控制与运营实践,详见上方完整定义。
User-Agent 伪造 还有哪些其他名称?
常见的别称包括: UA 伪装。