На моем сервере я отслеживаю клики на внешние сайты, которые служат ссылками. Недавно посетители из России нажимали на http://emotionathletes.org/redir?url=http://freedatingsiteall.com, например, и я нашел его в спискеэтот китайский сайтсреди прочего:
http://www.epropertywatch.com/email/75b8755ffe434c20bb5363e490172ba1/track/click?url=https%3A%2F%2Ffreedatingsiteall.com
http://emotionathletes.org/redir?url=http://freedatingsiteall.com
http://toonsfactor.com/cgi-bin/at3/out.cgi?l=tmx7x302x16457&s=55&u=http://freedatingsiteall.com
Я изменил исходный код на 404 для всех внешних веб-сайтов, которых нет в исходном коде. Я проверил журналы SSH, и сервер не был скомпрометирован.
В лучшем случае пользователь, нажавший на эту ссылку, будет перенаправлен на замаскированную ссылку. Поэтому я не понимаю, зачем мошеннику это делать. Это может быть кликфрод для увеличения результатов кампании (некоторые ссылки имеют utmпараметры GET) или способ увеличить трафик на сайт, замаскировав его под другой.
Есть ли у такого метода название и является ли он малорискованным, как я ожидаю?
решение1
Название этой проблемы безопасности:Открыть перенаправление, и является крайне опасным способом фишинга. Никогда не доверяйте никаким параметрам запроса ;)
Он указан какПеречень общих недостатков 601:
CWE-601: Перенаправление URL на ненадежный сайт («Открытое перенаправление»)
Веб-приложение принимает контролируемый пользователем ввод, который указывает ссылку на внешний сайт, и использует эту ссылку в перенаправлении. Это упрощает фишинговые атаки. Расширенное описание Параметр http может содержать значение URL и может заставить веб-приложение перенаправить запрос на указанный URL. Изменив значение URL на вредоносный сайт, злоумышленник может успешно запустить фишинговую аферу и украсть учетные данные пользователя. Поскольку имя сервера в измененной ссылке идентично исходному сайту, попытки фишинга имеют более заслуживающий доверия вид.