Day 26
Day 26|Open Redirect Impact 開放重新導向的影響
昨日複習
Day 25|Open Redirect 開放重新導向
Attackers may redirect users to a malicious website by modifying the redirect URL.
正確答案 B. Open Redirect
這句在描述:Open Redirect(開放重新導向)
看完整 Day 25 →今日句子
This vulnerability may allow attackers to conduct phishing attacks using a trusted domain.
中文意思
這個弱點可能允許攻擊者利用可信任網域進行釣魚攻擊。
這句在說什麼資安問題
Open Redirect Impact(開放重新導向的影響)
這句出現在 Open Redirect 弱點報告的 Impact 段落。攻擊者可以把「可信任網站的網域」包裝在連結前半段,讓使用者以為連結是安全的,點擊後才發現被導到了攻擊者控制的釣魚頁面,整個過程看起來完全合法。
- 釣魚郵件附上 https://trusted-bank.com/redirect?url=https://evil.com,受害者看到銀行網域就放心點擊
- 社群媒體上分享看似官方的連結,點擊後被導到假的 Google 登入頁面,竊取帳號密碼
- OAuth 授權流程中 redirect_uri 未驗證,攻擊者竊取授權碼後換取 access token
重點單字
| 英文 | 中文 |
|---|---|
| vulnerability | 弱點 |
| may allow attackers to | 可能允許攻擊者 |
| conduct phishing attacks | 進行釣魚攻擊 |
| trusted domain | 可信任網域 |
練習題
Attackers may abuse the redirect feature to send users to a fake login page.
💡 abuse the redirect feature(濫用重新導向功能)+ fake login page(假的登入頁面)是 Open Redirect 最常見的攻擊場景:使用者以為點的是熟悉的網站連結,卻被送到仿冒的登入頁面,輸入帳密後遭到竊取。