オープンリダイレクトについて説明していきます。

■概要
Webアプリケーションには、アプリケーション内の他ページや外部サイトに遷移するためのリダイレクト機能を備えてるものがあります。
リダイレクト機能に不備がある場合、攻撃者によってユーザを悪意あるサイトに誘導される可能性があります。
これを「オープンリダイレクト」と呼びます。

リダイレクト機能に以下の点があるとオープンリダイレクトが発生します。
・リダイレクト先をパラメータで動的に指定可能にしている
・リダイレクト先の検証が適切に実施していない

■想定される被害
オープンリダイレクトによってユーザが悪意あるサイトに誘導され、以下のような被害にあう可能性があります。
どのような被害を受ける可能性があるかあらかじめ把握しておき、攻撃を受けないように対策を検討することが必要です。

・個人情報、機密情報の窃取
・マルウェア感染
・悪意あるコードの実行

■対策
オープンリダイレクトの対策として挙げられるものは以下のようなものとなります。
・リダイレクト先をパラメータとして受け取らず、固定にする
・リダイレクト先の検証を行う

The following two tabs change content below.

• この記事を書いた人
• 最新の記事

田中 勇也

最新記事 by 田中 勇也 (全て見る)

• 脆弱性の種類　エラーメッセージによる情報露出 - 2024年10月31日
• 脆弱性の種類　脆弱なパスワードポリシー - 2024年8月31日
• 脆弱性の種類　機微情報の平文保存 - 2024年7月31日