Большинство веб-приложений в Интернете часто перенаправляют и перенаправляют пользователей на другие страницы или другие внешние веб-сайты. Однако, не подтверждая достоверность этих страниц, хакеры могут перенаправлять жертвы на сайты фишинга или вредоносного ПО или использовать для доступа к несанкционированным страницам.
Некоторые классические примеры неутвержденных переадресаций и форвардов приведены как даны -
- Скажем, у приложения есть страница - redirect.jsp, которая принимает параметр redirectrul . Хакер добавляет вредоносный URL-адрес, который перенаправляет пользователей, которые выполняют фишинг / установку вредоносного ПО.
- Все веб-приложения, используемые для пересылки пользователей в разные части сайта. Чтобы достичь того же, некоторые страницы используют параметр, указывающий, куда следует перенаправлять пользователя, если операция прошла успешно. Злоумышленник создает URL-адрес, который передает проверку контроля доступа приложения, а затем перенаправляет злоумышленника на административную функциональность, для которой злоумышленник не получил доступ.
Профилактические механизмы
- Лучше избегать использования переадресаций и переходов.
- Если это неизбежно, то это должно быть сделано без привлечения параметров пользователя при перенаправлении адресата.
0 комментариев