Redirigiendo / rickrolling intrusos

10

Mientras buscaba los paquetes de Node.js, encontré éste . Su propósito es redireccionar a los rastreadores fuera de un sitio y, de forma predeterminada, los arrastra. Encuentro la idea divertida, pero es una buena idea hacer esto a los intrusos, dado que los redireccionamientos no validados son a riesgo de seguridad ?

    
pregunta Philip Rowlands 13.01.2016 - 20:01
fuente

2 respuestas

17

Las redirecciones no validadas no se aplican necesariamente aquí. Un redireccionamiento no validado es algo más parecido a un atacante que puede enviar a una víctima a un destino elegido por el atacante. Si lees el ejemplo en la página OWASP que has vinculado en la parte inferior, verás que el atacante crea una URL que puede enviarse a una víctima mediante ingeniería social o de otra manera. Una redirección estática proveniente de un servidor es un escenario completamente diferente.

Si bien el rickrolling a un atacante puede parecer divertido, los usuarios legítimos se confundirán bastante si se les da un enlace a su sitio que los rickrolls automáticamente, disminuyendo la confianza del usuario.

    
respondido por el Jason Higgins 13.01.2016 - 20:08
fuente
2

Todos los ejemplos en la página a la que se vincula se refieren a casos en los que el usuario suministra la totalidad o parte de la URL a la que se redirige, a menos que me falte algo sobre el paquete Node.js que vinculó; en la configuración del servidor, por lo que no es vulnerable a las vulnerabilidades relacionadas con los parámetros pasados por un atacante. Suponiendo que ningún usuario malintencionado tenga control de su sitio (en cuyo caso, hay muchas maneras de forzar a un usuario a redirigirse a un sitio que controle de todos modos), no veo cómo esto podría introducir una vulnerabilidad. Dicho esto, deberás tener mucho cuidado de solo proporcionarles las URL que los usuarios nunca golpearían de forma legítima o mediante una escritura errónea.

    
respondido por el IllusiveBrian 13.01.2016 - 20:11
fuente

Lea otras preguntas en las etiquetas