Sicurezza relativa alla convalida lato client

0

Uno dei miei siti web ha una pagina web in cui ha un pulsante / link chiamato 'BACK'. Chiunque clicchi su questo pulsante / collegamento reindirizzerà l'utente alla pagina HOME dell'applicazione. Ora se l'utente modifica l'URL sul lato client tramite "Ispeziona elemento", l'utente può essere reindirizzato / inoltrato anche a Google.com. Nel processo, la richiesta non sta per l'applicazione, piuttosto sta andando direttamente su Google.com.

Qualcuno può farmi sapere se si tratta di una vulnerabilità o no? Capisco che poiché il link non è validato dall'applicazione in alcun modo, si tratta di una vulnerabilità.

    
posta Nikhil Verma 27.07.2016 - 10:36
fonte

1 risposta

3

Non è una vulnerabilità perché riguarda solo l'utente. Quando modifichi qualcosa con "inspect element", stai modificando il codice nel tuo browser, non nel browser di tutti gli altri.

Una cosa diversa è una vulnerabilità di reindirizzamento degli URL. Supponiamo che tu abbia una variabile nel tuo codice che fa qualcosa come my-fancy-site.com/script.php?site=www.google.com . In questo caso, le persone potrebbero cambiare il contenuto della variabile e inviare il link ad altre persone che si fidano del tuo dominio, in modo che facciano clic su di esso e vengano reindirizzati a Google.

    
risposta data 27.07.2016 - 10:55
fonte

Leggi altre domande sui tag