내 서버에서는 참조 역할을 하는 외부 웹사이트에 대한 클릭을 추적합니다. 최근 러시아에서 온 방문자들이 를 클릭하고 있는데 http://emotionathletes.org/redir?url=http://freedatingsiteall.com, 나는 그것이 다음에 나열된 것을 발견했습니다.이 중국 웹사이트그 중에서도:
http://www.epropertywatch.com/email/75b8755ffe434c20bb5363e490172ba1/track/click?url=https%3A%2F%2Ffreedatingsiteall.com
http://emotionathletes.org/redir?url=http://freedatingsiteall.com
http://toonsfactor.com/cgi-bin/at3/out.cgi?l=tmx7x302x16457&s=55&u=http://freedatingsiteall.com
소스코드에 없는 모든 외부사이트를 404로 소스코드를 변경했습니다. SSH 로그를 확인했는데 서버가 손상되지 않았습니다.
기껏해야 해당 링크를 클릭한 사용자는 가려진 링크로 리디렉션됩니다. 그래서 사기꾼이 왜 이런 짓을 하는지 이해가 안 돼요. 이는 캠페인 결과를 높이기 위한 클릭 사기일 수도 있고(일부 링크에는 utmGET 매개변수가 있음) 웹사이트를 다른 웹사이트로 마스킹하여 트래픽을 늘리는 방법일 수도 있습니다.
그런 방법에 이름이 있고, 예상대로 위험도가 낮은가요?
답변1
이 보안 문제의 이름은 다음과 같습니다.오픈 리디렉션, 매우 위험한 피싱 방법입니다. 요청 매개변수를 절대 신뢰하지 마세요. ;)
다음과 같이 기재되어 있습니다.공통 약점 열거 601:
CWE-601: 신뢰할 수 없는 사이트로의 URL 리디렉션('오픈 리디렉션')
웹 애플리케이션은 외부 사이트에 대한 링크를 지정하는 사용자 제어 입력을 받아들이고 해당 링크를 리디렉션에 사용합니다. 이는 피싱 공격을 단순화합니다. 확장된 설명 http 매개변수는 URL 값을 포함할 수 있으며 웹 애플리케이션이 요청을 지정된 URL로 리디렉션하도록 할 수 있습니다. 공격자는 URL 값을 악의적인 사이트로 수정하여 피싱 사기를 시작하고 사용자 자격 증명을 훔칠 수 있습니다. 수정된 링크의 서버 이름이 원본 사이트와 동일하기 때문에 피싱 시도가 더욱 신뢰가 가는 모습을 보입니다.