L'OWASP afferma che il reindirizzamento aperto è una vulnerabilità :
An open redirect is an application that takes a parameter and redirects a user to the parameter value without any validation. This vulnerability is used in phishing attacks to get users to visit malicious sites without realizing it.
Tuttavia, è semplice per un utente malintenzionato creare un URL di phishing e ottenerlo abbreviato, in modo da "convincere [gli utenti] a visitare siti dannosi senza rendersene conto".
Significa che tutti gli abbreviazioni URL (ad es. bit.ly , goo. gl , ecc) sono per definizione vulnerabili?
Come può un URL shortener essere corretto / modificato in modo tale da non violare OWASP?