No meu servidor, rastreio cliques em sites externos que servem como referências. Recentemente, visitantes da Rússia clicaram em http://emotionathletes.org/redir?url=http://freedatingsiteall.com, por exemplo, e encontrei-o listado emeste site chinêsentre outros:
http://www.epropertywatch.com/email/75b8755ffe434c20bb5363e490172ba1/track/click?url=https%3A%2F%2Ffreedatingsiteall.com
http://emotionathletes.org/redir?url=http://freedatingsiteall.com
http://toonsfactor.com/cgi-bin/at3/out.cgi?l=tmx7x302x16457&s=55&u=http://freedatingsiteall.com
Alterei o código fonte para 404 todos os sites externos que não estão no código fonte. Verifiquei os logs SSH e o servidor não foi comprometido.
No máximo, um usuário que clicasse nesse link seria redirecionado para o link mascarado. Portanto, não entendo por que um fraudador faria isso. Pode ser fraude de cliques para aumentar os resultados de uma campanha (alguns links possuem utmparâmetros GET) ou uma forma de aumentar o tráfego para um site mascarando-o como outro.
Esse método tem nome e é de baixo risco como eu esperava?
Responder1
O nome deste problema de segurança éRedirecionamento aberto, e é uma forma altamente perigosa de phishing. Nunca confie em nenhum parâmetro de solicitação;)
Está listado comoEnumeração de Fraqueza Comum 601:
CWE-601: Redirecionamento de URL para site não confiável ('Redirecionamento aberto')
Um aplicativo Web aceita uma entrada controlada pelo usuário que especifica um link para um site externo e usa esse link em um Redirecionamento. Isso simplifica os ataques de phishing. Descrição estendida Um parâmetro http pode conter um valor de URL e fazer com que o aplicativo da web redirecione a solicitação para o URL especificado. Ao modificar o valor do URL de um site malicioso, um invasor pode lançar com êxito um esquema de phishing e roubar credenciais do usuário. Como o nome do servidor no link modificado é idêntico ao do site original, as tentativas de phishing têm uma aparência mais confiável.