¿La redirección abierta es un problema de seguridad?

12

¿Los redireccionamientos abiertos son un problema de seguridad? Google escribe que : "Una redirección abierta no es un error o un defecto de seguridad en sí mismo: para algunos usos, deben dejarse bastante abiertos ". Y el programa de recompensas de Google no lo ve como un error:

  

Algunos miembros de la comunidad de seguridad argumentan que los redirectores abiertos son   Un problema de seguridad. El argumento común a favor de esta opinión es que   algunos usuarios, cuando se les presenta un enlace cuidadosamente elaborado, pueden ser engañados   a pensar que serán llevados a una página de confianza, pero serán   No estar lo suficientemente atento como para examinar el contenido de la barra de direcciones.   después de la redirección tiene lugar.

¿Deben tratarse los redireccionamientos abiertos como errores?

    
pregunta user389823 21.10.2012 - 04:55
fuente

4 respuestas

20

YES , y es una de las 10 principales violaciones de OWASP: OWASP A10 - Sin validar Redireccionar . Estos son valiosos para el phishing y el spam. Recientemente se descubrió que los spammers estaban explotando las vulnerabilidades de Redireccionamiento Abierto en los sitios web .gov de EE. UU. .

    
respondido por el rook 21.10.2012 - 05:21
fuente
1

No hay ninguna razón para usar redirecciones en el sitio web si no es un redirector público. No puede pasar ningún dato hecho por el usuario al encabezado de respuesta y, obviamente, permitir cambiar Status a 301 o 302 y configurar Location es totalmente fatal.

Para evitar este problema, no debe ocurrir en el campo Location enviado por el usuario, sino que el campo debe generarse desde el servidor, y se supone que el usuario debe estar identificado en sessionid, y la sesión del usuario debe almacenarse en el servidor Y esto es todo.

    
respondido por el Andrew Smith 21.10.2012 - 20:46
fuente
1

Definitivamente

Los piratas informáticos pueden explotar la confianza que los usuarios tienen en un sitio web con redirección abierta. Pueden hacer que los usuarios vayan a sitios que normalmente no harían, estos sitios podrían ser maliciosos e instalar malware en la computadora de los usuarios.

La redirección abierta debe tratarse como cualquier otro error de seguridad.

    
respondido por el CoderPE 10.11.2018 - 19:08
fuente
-2

No , existen usos perfectamente válidos para redirecciones como los servicios de acortamiento de URL.

Sin embargo, uno no debería usarlos simplemente "porque pueden" en la mayoría de los casos, hay mejores alternativas que deberían ser preferidas.

Debe considerarse como indeseable y solo debe utilizarse cuando ese es el único método disponible.

    
respondido por el ewanm89 21.10.2012 - 15:54
fuente

Lea otras preguntas en las etiquetas