A importância dos cabeçalhos HTTP na investigação de sites maliciosos

Profissionais de segurança da informação tomam uma série de medidas ao investigar sites maliciosos: usam uma máquina de testes não conectada à rede de produção, ocultam sua origem, se conectando através de uma rede DSL não-corporativa ou usando um proxy anonimizador, como o Tor. Dois outros elementos que devem ser levados em conta são os cabeçalhos de User-Agent e Referer, que devem estar de acordo com as expectativas do atacante. Usuários maliciosos podem construir sistemas que funcionem apenas se o usuário vier de uma outro site em específico (por exemplo, do Google), ou estiver usando um navegador ou sistema operacional específico, ocultando a sua natureza maliciosa caso o perfil de ataque desejado não seja correspondido. Veja mais detalhes sobre a técnica em The Importance of HTTP Headers When Investigating Malicious Sites.