Gli abbreviazioni URL sono "vulnerabili" a causa di reindirizzamenti aperti?

L'abuso di un reindirizzamento aperto sarebbe quando riceverei un'email di phishing come questa:

From: "Example.com Admin" <[email protected]>

Hello [ENTER TARGET NAME HERE]

I am the admin of example.com and we need you to enter your example.com username 
and password for totally justified reason on 
https://example.com/redirect.php?172156214

Osservo il link nell'e-mail e vedo che porta in effetti a example.com e non altrove. Sono un membro di example.com regolare quindi mi fido di quel sito. È anche un https-link e quella rivista di computer mi ha detto che sono super-sicuri. Quindi clicco su di esso.

Tuttavia, quello che non so è che redirect.php è uno script che consente a chiunque di creare un URL di redirezione per qualsiasi URL che desiderano. Quando clicco sul link, vengo reindirizzato a http://example.com.totallylegitloginpagereallytrustme.ru/notinfestedwithmalwareatall.html . Quando l'URL shortener è uno di quelli che utilizzano un iframe a schermo intero per nascondere l'URL di destinazione, non vedo nemmeno quell'URL. Ma anche se così non fosse, potrei non verificarlo perché ho già verificato che è effettivamente example.com nell'email. Quindi inserirò il mio nome utente e la password.

Un dominio che viene utilizzato per la riduzione dei collegamenti di solito non viene utilizzato per nient'altro. Ma quando lo è, è vulnerabile per i tentativi di phishing di account per quel dominio stesso.

Gli abbreviazioni URL soddisfano la definizione di siti con vulnerabilità di reindirizzamento aperto, sì, ma sarebbe perverso descriverli come vulnerabili quando il loro scopo esclusivo è quello di agire come un reindirizzamento aperto.

"Vulnerabile" significa che può essere utilizzato da un utente malintenzionato per scopi diversi da quello previsto dall'autore. Poiché gli URL shortener sono creati appositamente come reindirizzamenti aperti, sono per definizione non vulnerabili .

Quando gli utenti vedono un link tinyurl.com o un link t.co, non presumono che il collegamento sia a una pagina ospitata da tinyurl o twitter. In effetti, questo è precisamente il motivo per cui gli abbreviazioni URL gestiti dai principali siti Web (t.co per twitter, goo.gl per google, fb.me per Facebook, ecc.) Utilizzano un nome di dominio diverso da quello eseguito dal sito.

Infatti, Google esegue due abbreviazioni URL; goo.gl è utilizzabile da chiunque, mentre g.co è utilizzato solo per attività commerciali con collegamenti a destinazioni Google, in particolare per consentire agli utenti di valutare immediatamente un collegamento.

Se qualcuno è in grado di utilizzare il TUO sito come servizio di reindirizzamento dell'URL su richiesta e non lo hai impostato esclusivamente per quello scopo, allora può essere un vero problema.

La regola afferma che è una destinazione non convalidata . Nel caso dell'url shortener, è una destinazione specifica e assolutamente valida. Se vado su bit.ly/?ABCDEFG - mi porterà sempre nello stesso posto. Questa è per definizione la funzione del servizio.

Il poster qui sopra ha ragione. Se posso inviarti un link a www.ibm.com/?id=AKJSHDKAHDAKSDHAKSHDAKSHDKSADKAHD&redir=www.haxx0rs.net in modo che non sia ovvio che non sto andando su ibm.com, allora abbiamo un problema. L'unico scopo dello shortener è reindirizzare e il link ti porterà sempre nello stesso posto.

La differenza è che un URL shortener non è mai la destinazione di un utente. Invece, lo usa per ottenere in una destinazione. Quindi molto probabilmente controllerà dove l'URL abbreviato lo ha portato. D'altra parte, se l'utente è sulla sua pagina di destinazione, allora un reindirizzamento può essere molto dannoso, perché l'utente potrebbe non essere a conoscenza di questo reindirizzamento (la nuova pagina ha lo stesso aspetto) e quindi non controlla la sua nuova destinazione.

L'unico argomento a cui vorrei seguire è che un accorciatore di URL in una mail ha qualche vantaggio psicologico: a prima vista, la vittima vede che l'URL è un abbreviazione e potrebbe essere curioso di cliccarci sopra. Quando viene reindirizzato, inizialmente la vittima presta attenzione a come appare la pagina (ad esempio il layout di YouTube) e potrebbe non controllare più l'URL esatto (come avrebbe fatto nella posta).

Ma dire che un URL shortener è vulnerabile perché reindirizzare a una pagina non convalidata è come dire che un'applicazione web in cui gli utenti possono testare il proprio codice JavaScript è soggetta a XSS. Non è una vulnerabilità, è uno scopo.

Per rispondere "Come può essere corretto / modificato un URL shortener in modo tale da non violare OWASP?" - Gestisci il tuo servizio di abbreviazione URL nel modo più sicuro possibile e non dovrai preoccuparti di usare qualcun altro. Ad esempio, non esitare a cercare le altre soluzioni su google o a creare il tuo strumento (progetto abbastanza semplice): link

Sì, sei corretto e quella "è" considerata una vulnerabilità e / o un exploit utilizzabile. anche se i link shortner provider diranno altrimenti perché c'è già una soluzione pronta per questo, vedi i servizi come è usato per l'hyper linking e un testo meno ingombrante. Per sicurezza e correzione, tutto ciò che devi fare è fare clic con il tasto destro del mouse sul link e fare clic su copia copia clink location e incollarlo nel blocco note, ad esempio. A volte puoi passare con il mouse sul link.