- Accueil »
- Navigateur »
- Tronquer son identité sur son WebBrowser
Tronquer son identité sur son WebBrowser
Nous allons donc voir comment modifier son identité afin de laisser filtrer un minimum d’informations valides quand on navigue sur les flots.
En effet, lorsque que l’on communique avec un serveur (envoi et réponse), on utilise des requêtes HTTP contenant des headers ; ces derniers contiennent toute sorte d’informations relatives à notre passage. Grâce aux headers de ces requêtes HTTP (port 80), les serveurs peuvent connaitre notre User-agent (nom et version du navigateur), notre Referer (dernière page visitée) ou encore notre Via (proxy utilisés). Ils peuvent de plus nous interdire l’accès à certaines pages en se servant de ces informations.
Heureusement, nous pouvons modifier ces headers afin de passer entre les mailles du filet, et ceci avec: Modify Headers.
Modify Headers se présente comme ceci :
Imaginons que le site www.defense-usa.gov nous refuse l’accès à ses pages car nous ne naviguons pas avec le browser privé de l’armée: DefenseNET. Qu’à cela ne tienne, modifions notre User-Agent:
Et voilà, nous avons accès au site car le site croit que nous utilisons DefenseNET.
Ensuite, le site nous interdit l’accès direct à www.defense-usa.gov/missions.php si l’on ne vient pas de la page www.defense-usa.gov/index.php. Cependant cette page est protégée par .htaccess et nous ne pouvons donc pas passer par elle. Pour cela, nous allons forger notre Referer:
Nous avons donc maintenant accès à www.defense-usa.gov/missions.php car, identifiant notre Referer, le site le considère comme valide !
En interceptant quelques headers, on s’aperçoit que le site log notre email afin de remonter notre trace. Le vilain. Trompons le en indiquant une fausse adresse:
Nous pouvons donc surfer en toute sécurité maintenant.
L’accès à www.defense-usa.gov/membres.php nous est refusé alors que n’avons pas trouvé de zone d’identifications. Malins, nous regardons nos cookies et trouvons membre=false. Changeons la valeur du cookie:
Bingo, nous avons accès à la zone membre.
A notre grande surprise, le site www.defense-usa.gov est tellement raciste qu’il n’autorise que les américains à le consulter, les autres langues sont interdites d’accès. Quelle honte. Travestissons nous en américains:
Des dizaines d’autres headers sont également modifiables.