Reindirizzamento / rickrolling intrusi

10

Durante la ricerca di pacchetti Node.js, ho trovato questo . Lo scopo è quello di reindirizzare i crawler da un sito, e per impostazione predefinita Rickrolls. Trovo l'idea divertente, ma è una buona idea farlo agli intrusi, dato che i reindirizzamenti non convalidati sono a rischio per la sicurezza ?

    
posta Philip Rowlands 13.01.2016 - 20:01
fonte

2 risposte

17

I reindirizzamenti non convalidati non si applicano necessariamente qui. Un reindirizzamento non convalidato è qualcosa di più sulla falsariga di un attaccante che è in grado di inviare una vittima a una destinazione scelta dall'attaccante. Se leggi l'esempio sulla pagina OWASP che hai linkato in basso, vedrai che l'autore dell'attacco crea un URL che può essere inviato a una vittima usando l'ingegneria sociale o altro. Un reindirizzamento statico proveniente da un server è uno scenario completamente diverso.

Anche se rickrolling di un utente malintenzionato può sembrare divertente, gli utenti legittimi si sentirebbero piuttosto confusi se ricevessero un link al tuo sito che automaticamente li rickrolls, riducendo la fiducia dell'utente.

    
risposta data 13.01.2016 - 20:08
fonte
2

Tutti gli esempi nella pagina che colleghi si riferiscono a casi in cui l'utente fornisce tutto o parte dell'URL da reindirizzare a - a meno che manchi qualcosa sul pacchetto Node.js che hai collegato, il parametro è fornito nella configurazione del server, quindi non è vulnerabile agli exploit relativi ai parametri passati da un utente malintenzionato. Supponendo che nessun utente malintenzionato abbia il controllo del proprio sito (nel qual caso, ci sono una miriade di modi in cui possono costringere un utente a reindirizzare a un sito che controllano comunque), non vedo come questo possa introdurre una vulnerabilità. Detto questo, devi stare molto attento a dargli solo URL che gli utenti non avrebbero mai colpito in modo legittimo o attraverso errori di digitazione.

    
risposta data 13.01.2016 - 20:11
fonte

Leggi altre domande sui tag