Open Redirect

O que é Open redirect?

Open redirect também conhecida como Unvalidated Redirects e forwards é uma falha que ocorre quando uma aplicação web aceita dados não confiáveis, que resulta no redirecionamento do usuário para um outro site qualquer.
Traduzindo a falha funciona da seguinte forma:
Quando o usuário realizar o login através do link https://www.infosec.com.br/Login.php?ReturnUrl=/admin.php o mesmo será redirecionado para a página admin.php após o login, caso a aplicação não faça a validação do valor que o parâmetro ” ReturnUrl ” recebe, um usuário malicioso pode criar o seguinte link https://www.infosec.com.br/Login.php?ReturnUrl=http://www.attacker.com e envia-lo para usuários que tenham opção de login no site, quando o usuário realizar o login através desse link, o mesmo será redirecionado para site http://www.attacker.com
Esse tipo de ataque é muito utilizado em phishing, até porque se você prestar bem atenção, o link parece seguro uma vez que ele contém o endereço real para o infosec.com.br

Open redirect também pode ser utilizado para dar bypass no access control da aplicação.

________________________

Preocupado(a) se sua empresa pode estar correndo esse risco? Entre em contato agora mesmo

[contact-form-7 id=”171″ title=”Formulário de contato”]