Большинство веб-приложений в Интернете часто перенаправляют и перенаправляют пользователей на другие страницы или другие внешние веб-сайты. Однако, не подтверждая достоверность этих страниц, хакеры могут перенаправлять жертвы на сайты фишинга или вредоносного ПО или использовать для доступа к несанкционированным страницам.

Некоторые классические примеры неутвержденных переадресаций и форвардов приведены как даны -

  • Скажем, у приложения есть страница - redirect.jsp, которая принимает параметр redirectrul . Хакер добавляет вредоносный URL-адрес, который перенаправляет пользователей, которые выполняют фишинг / установку вредоносного ПО.
  • Все веб-приложения, используемые для пересылки пользователей в разные части сайта. Чтобы достичь того же, некоторые страницы используют параметр, указывающий, куда следует перенаправлять пользователя, если операция прошла успешно. Злоумышленник создает URL-адрес, который передает проверку контроля доступа приложения, а затем перенаправляет злоумышленника на административную функциональность, для которой злоумышленник не получил доступ.

Профилактические механизмы

  • Лучше избегать использования переадресаций и переходов.
  • Если это неизбежно, то это должно быть сделано без привлечения параметров пользователя при перенаправлении адресата.