http://emotionathletes.org/redir?url=http://freedatingsiteall.comAuf meinem Server verfolge ich Klicks auf externe Websites, die als Referenz dienen. In letzter Zeit haben Besucher aus Russland beispielsweise auf geklickt , und ich habe es aufdiese chinesische Websiteunter anderen:
http://www.epropertywatch.com/email/75b8755ffe434c20bb5363e490172ba1/track/click?url=https%3A%2F%2Ffreedatingsiteall.com
http://emotionathletes.org/redir?url=http://freedatingsiteall.com
http://toonsfactor.com/cgi-bin/at3/out.cgi?l=tmx7x302x16457&s=55&u=http://freedatingsiteall.com
Ich habe den Quellcode so geändert, dass alle externen Websites, die nicht im Quellcode enthalten sind, eine 404-Meldung erhalten. Ich habe die SSH-Protokolle überprüft und der Server wurde nicht kompromittiert.
Ein Benutzer, der auf diesen Link klickt, wird höchstens auf den maskierten Link umgeleitet. Ich verstehe also nicht, warum ein Betrüger so etwas tun würde. Es könnte sich um Klickbetrug handeln, um die Ergebnisse einer Kampagne zu verbessern (einige Links haben utmGET-Parameter) oder um eine Möglichkeit, den Verkehr auf einer Website zu erhöhen, indem sie als eine andere maskiert wird.
Gibt es für eine solche Methode einen Namen und ist das Risiko so gering wie von mir erwartet?
Antwort1
Der Name dieses Sicherheitsproblems lautetWeiterleitung öffnen, und ist eine äußerst gefährliche Art des Phishings. Vertrauen Sie niemals irgendwelchen Anfrageparametern ;)
Es ist aufgeführt alsHäufige Schwächenaufzählung 601:
CWE-601: URL-Weiterleitung zu einer nicht vertrauenswürdigen Site („Open Redirect“)
Eine Webanwendung akzeptiert eine benutzergesteuerte Eingabe, die einen Link zu einer externen Site angibt, und verwendet diesen Link in einer Umleitung. Dies vereinfacht Phishing-Angriffe. Erweiterte Beschreibung: Ein HTTP-Parameter kann einen URL-Wert enthalten und dazu führen, dass die Webanwendung die Anforderung an die angegebene URL umleitet. Durch die Änderung des URL-Werts zu einer bösartigen Site kann ein Angreifer erfolgreich einen Phishing-Betrug starten und Benutzeranmeldeinformationen stehlen. Da der Servername im geänderten Link mit dem der ursprünglichen Site identisch ist, wirken Phishing-Versuche vertrauenswürdiger.