¿Los acortadores de URL son "vulnerables" debido a los redireccionamientos abiertos?

Abusar de una redirección abierta sería cuando recibiera un correo electrónico de phishing como este:

From: "Example.com Admin" <[email protected]>

Hello [ENTER TARGET NAME HERE]

I am the admin of example.com and we need you to enter your example.com username 
and password for totally justified reason on 
https://example.com/redirect.php?172156214

Miro el enlace en el correo electrónico y veo que efectivamente conduce a example.com y no a otra parte. Soy un miembro habitual de example.com, así que confío en ese sitio web. Incluso es un enlace https y esa revista de computadora me dijo que son súper seguras. Así que hago clic en él.

Sin embargo, lo que no sé es que redirect.php es un script que permite a cualquiera crear una URL de redireccionamiento a cualquier URL que desee. Cuando hago clic en el enlace me redireccionan a http://example.com.totallylegitloginpagereallytrustme.ru/notinfestedwithmalwareatall.html . Cuando el acortador de URL es uno de los que usan un iframe de pantalla completa para ocultar la URL de destino, ni siquiera veo esa URL. Pero incluso cuando no lo hace, es posible que no lo verifique porque ya verifiqué que efectivamente se encuentra example.com en el correo electrónico. Así que introduciré mi nombre de usuario y contraseña.

Un dominio que se usa para acortar enlaces generalmente no se usa para nada más. Pero cuando lo es, es vulnerable a los intentos de phishear cuentas para ese dominio en sí.

Los acortadores de URL cumplen con la definición de sitios con vulnerabilidad de redireccionamiento abierto, sí, pero sería perverso describirlos como vulnerables cuando su único propósito es actuar como un redireccionamiento abierto.

"Vulnerable" significa que puede ser usado por un atacante para un propósito diferente al que pretende el autor. Debido a que los acortadores de URL están diseñados específicamente como redirecciones abiertas, son, por definición, no vulnerables .

Cuando los usuarios ven un enlace de tinyurl.com o un enlace t.co, no asumen que el enlace es a una página alojada por tinyurl o twitter. De hecho, esta es la razón específica por la cual los acortadores de URL ejecutados por los principales sitios web (t.co para twitter, goo.gl para google, fb.me para facebook, etc.) usan un nombre de dominio diferente al que se ejecuta en el sitio.

De hecho, Google ejecuta dos acortadores de URL; Goo.gl es para que lo use cualquier persona, mientras que g.co solo se usa para official business con enlaces a destinos de Google, específicamente para permitir a los usuarios evaluar un enlace de un vistazo.

Si alguien puede usar TU sitio como un servicio de redireccionamiento de URL a pedido, y no lo has configurado exclusivamente para ese propósito, eso puede ser un problema real.

La regla establece que es un destino no validado . En el caso del acortador de url, es un destino específico y absolutamente validado. Si voy a bit.ly/?ABCDEFG, siempre me llevará al mismo lugar. Esto es, por definición, la función del servicio.

El póster de arriba tiene razón. Si puedo enviarle un enlace a www.ibm.com/?id=AKJSHDKAHDAKSDHAKSHDAKSHDKSADKAHD&redir=www.haxx0rs.net para que no sea obvio que no vaya a ibm.com, entonces tenemos un problema. El único propósito del acortador es redirigir, y el enlace siempre lo llevará al mismo lugar.

La diferencia es que un acortador de URL nunca es el destino de un usuario. En su lugar, lo usa para obtener a un destino. Por lo tanto, lo más probable es que compruebe dónde le ha llevado la URL acortada. Por otro lado, si el usuario ya está en su página de destino, una redirección puede ser muy perjudicial, ya que es posible que el usuario no esté al tanto de esta redirección (la nueva página tiene el mismo aspecto) y, por lo tanto, no revisa su nuevo destino.

El único argumento que seguiría es que un acortador de URL en un correo tiene alguna ventaja psicológica: a primera vista, la víctima ve que el URL es un acortador y puede ser curioso hacer clic en él. Cuando se redirige, la víctima al principio prestará atención al aspecto de la página (por ejemplo, el diseño de youtube) y es posible que ya no verifique la URL exacta (como lo habría hecho en el correo).

Pero decir que un acortador de URL es vulnerable porque redirige a una página sin validar es como decir que una aplicación web donde los usuarios pueden probar su código JavaScript es propensa a XSS. No es una vulnerabilidad, es un propósito.

Para responder "¿Cómo se puede arreglar / modificar un acortador de URL para que no infrinja OWASP?" - Ejecute su propio servicio de acortamiento de URL de la forma más segura posible y no tendrá que preocuparse por usar los demás. Ejemplo de la parte superior de mi cabeza, siéntete libre de buscar otras soluciones, o crea tu propia herramienta (proyecto bastante simple): enlace

Sí, está en lo correcto y eso "es" considerado una vulnerabilidad y / o un exploit utilizable. aunque los proveedores de enlaces más cortos dirán lo contrario porque ya hay una solución preparada para esto, ver servicios como se usa para hipervinculación y un texto menos abarrotado. Para estar seguro y corregir esto, todo lo que debe hacer es hacer clic derecho en el enlace y hacer clic en copiar copiar ubicación de tintineo y pegarlo en el bloc de notas, por ejemplo. A veces puedes simplemente moverte sobre el enlace.