2017-12-08

December - OWASP Top Ten - A10 Unvalidated Redirects and Forwards

OWASP står för The Open Web Application Security Project och är en öppen global organisation som arbetar för säkerhet i mjukvaruapplikationer, främst webbapplikationer.
OWASP Top Ten listar de mest kritiska säkerhetsproblemen för webbapplikationer.

A10 Unvalidated Redirects and Forwards

Attacken går ut på att lura användare till att klicka på länkar som omdirigerar användaren till en annan webbsida. Användaren går på det för att länken ser ok ut vid första anblick.

Exempel: När dina användare loggar in på din webbshop så vill du att de ska komma tillbaka till den sida de var på när de tryckte på inloggningsknappen så du skapar en funktion som fixar det. Sidan det implementeras på är redirect.jsp som hittas här: https://www.example.com/redirect.jsp och med parametern url så kan man skicka tillbaka användaren till rätt sida efter inloggning.
Någon upptäcker det här och postar länken https://www.example.com/redirect.jsp?url=evil.com bland exempelvis produktrecensionerna.. De som klickar på länken kommer då att omdirigeras till webbsidan på evil.com även fast de trodde att de klickade på en länk som ledde inom din webbshop.

För att åtgärda det här så bygger man enklast in en kontroll i redirect.jsp som validerar vilka url:er som skickas in så att du har kontroll över var dina användare skickas.


System och tjänster som uppdaterats sedan förra uppdateringen:
  • s02
    • Inga uppdateringar
  • s03
    • Inga uppdateringar
  • s04
    • Bygger server.