[サイバー攻撃大辞典 トップへ]

オープンリダイレクトの脆弱性


スポンサー リンク

説明


オープンリダイレクトの脆弱性とはWebブラウザによるインターネット上のサイトアクセスに関して、入力したサイトから他のサイトへ自動的に移動する機能のこと。
これを誤って利用すると脆弱性が発生する可能性がある。


攻撃例


例えば信頼したサイトを http://<aaa>.com/ 、 悪意のサイトを http://<bbb>.com/とする

http://<aaa>.com/ に"オープンリダイレクト"の脆弱性がある場合、 http://<aaa>.com/xxx.php?url=http://<bbb>.com/
のようにパラメータに悪意のサイトを指定して悪意のサイトに飛ばすことが可能となる。

ユーザはアクセスしているサイトが信頼したサイトであり、また証明書も正しいためユーザは気が付かない可能性がある。
悪意のサイトでユーザ名/パスワードの入力をさせることによりパスワードの盗み取りが可能となる。

対策


リダイレクトする場合は、
(1)中間にクッションページを設置する
(2)リダイレクト先のドメインをチェックする

などの対策が必須である。

またWebサーバ側はアドレスバーを非表示、ステータスバーを非表示にするなどのデザインは禁止すべきである。


スポンサー リンク






[サイバー攻撃大辞典 トップへ]


本サイト内掲載されている情報は、誰もその正当性は保証しません。独自の調査により判明した事項を記載しており、内容に誤りがある可能性があります。
内容により発生したいかなる損害は誰も補償しません。自己責任で参考として閲覧してください。
本サイト内掲載されている情報は、著作権法により保護されています。いかなる場合でも権利者の許可なくコピー、配布することはできません。 このページはリンクフリーです。(このページへの直接リンクも可能です。) Copyright(c) securitychecklist.net 2917