¿Cuál es el propósito de (ab) usar la página de redireccionamiento de mi sitio web para URL dudosas?

Navega tus respuestas
74

Mi sitio web tiene una página de redireccionamiento con el formato enlace ...

La redirección se implementa en Javascript, de modo que cuando solicita el sitio, obtiene 200 y algo de HTML + JS, no 30X.

Recientemente comencé a notar que alguien está abusando de la página de redireccionamiento para enlaces dudosos (pistolas, viagra, ...). Era sospechoso que el tráfico de la página aumentara mucho, especialmente por la noche, cuando apenas debería haber tráfico.

Comencé a registrar las solicitudes, incluido el referente. Los remitentes parecen ser todo tipo de hosts diferentes (no siempre el mismo), pero en su mayoría redirigen las páginas. Los ejemplos son

En realidad tengo el control de las URL a las que los usuarios deben ser redirigidos legítimamente, así que implementé una lista blanca de hosts válidos y comencé a redirigir los no válidos a mi página de inicio.

Lo que me pregunto es, ¿por qué alguien debería abusar de mi página de redireccionamiento de la manera descrita? ¿Y hay algún riesgo que deba tener en cuenta?

    
pregunta Kirill Rakhman 08.08.2018 - 14:38
fuente

4 respuestas

119

Suponiendo que la gente confía en su sitio, el abuso de redirecciones como esta puede ayudar a evitar los filtros de correo no deseado u otros filtros automatizados en foros / formularios de comentarios / etc. apareciendo un enlace a las páginas en su sitio. Muy pocas personas harán clic en un enlace a enlace , pero pueden hacer clic en enlace , especialmente si fue formateado como enlace para ocultar la redirección de una inspección casual, incluso si se mira en la barra de estado mientras se mueve sobre eso, comienza con una cadena de aspecto razonable.

Los principales riesgos están relacionados con la reputación de su sitio (es más probable que aparezcan en la lista negra mediante los servicios de filtrado si detectan tráfico dudoso a través de él) y para las personas que siguen estos enlaces (quién sabe qué hay realmente en el otro sitio al que está re enviándolos a). Es poco probable que el servidor se comprometa directamente.

    
respondido por el Matthew 08.08.2018 - 14:57
fuente
32

Si tiene una página de inicio de sesión en su sitio, los malos podrían haber usado su redireccionamiento abierto para hacer que la página de phishing sea más exitosa para sus usuarios.

De enlace

  

Los redireccionamientos y reenvíos no validados son posibles cuando una aplicación web   acepta entradas no confiables que podrían hacer que la aplicación web   redirigir la solicitud a una URL contenida en una entrada no confiable. Por   modificando la entrada de URL no confiable a un sitio malicioso, un atacante puede   iniciar con éxito una estafa de phishing y robar credenciales de usuario.   Debido a que el nombre del servidor en el enlace modificado es idéntico al   sitio original, los intentos de phishing pueden tener una más confiable   apariencia. También se pueden utilizar ataques de redirección y reenvío no validados.   para crear maliciosamente una URL que pase el acceso de la aplicación   control de control y luego reenviar el atacante a funciones privilegiadas   que normalmente no podrían acceder.

    
respondido por el JesseM 08.08.2018 - 19:49
fuente
9

El problema es que el uso de su redireccionamiento aprovecha el buen nombre de su empresa para que alguien haga clic en el enlace malicioso.

    
respondido por el Joe M 08.08.2018 - 20:26
fuente
6

Es posible que su sitio web no esté en la lista negra, a diferencia de otro.

Suponiendo que lo estuvieran usando para enviar enlaces de spam, parecería más razonable si se tratara de un nuevo dominio. Supongo que enviarían correo no deseado desde su sitio el tiempo suficiente para que se incluya en la lista negra, momento en el que podrían eliminar el suyo y tratar de encontrar otro.

    
respondido por el MK_Codes 08.08.2018 - 14:51
fuente

Lea otras preguntas en las etiquetas

¿Por qué la gente me dice que no use las VLAN por seguridad? Si ingreso una contraseña en el sitio equivocado, ¿debería considerarlo comprometido?