← 回到練習列表 加入 LINE 社群
Day 26

Day 26|Open Redirect Impact 開放重新導向的影響

昨日複習

Day 25|Open Redirect 開放重新導向

Attackers may redirect users to a malicious website by modifying the redirect URL.

正確答案 B. Open Redirect

這句在描述:Open Redirect(開放重新導向)

看完整 Day 25 →

今日句子

This vulnerability may allow attackers to conduct phishing attacks using a trusted domain.

中文意思

這個弱點可能允許攻擊者利用可信任網域進行釣魚攻擊。

這句在說什麼資安問題

Open Redirect Impact(開放重新導向的影響)

這句出現在 Open Redirect 弱點報告的 Impact 段落。攻擊者可以把「可信任網站的網域」包裝在連結前半段,讓使用者以為連結是安全的,點擊後才發現被導到了攻擊者控制的釣魚頁面,整個過程看起來完全合法。

  • 釣魚郵件附上 https://trusted-bank.com/redirect?url=https://evil.com,受害者看到銀行網域就放心點擊
  • 社群媒體上分享看似官方的連結,點擊後被導到假的 Google 登入頁面,竊取帳號密碼
  • OAuth 授權流程中 redirect_uri 未驗證,攻擊者竊取授權碼後換取 access token

重點單字

英文中文
vulnerability 弱點
may allow attackers to 可能允許攻擊者
conduct phishing attacks 進行釣魚攻擊
trusted domain 可信任網域

練習題

Attackers may abuse the redirect feature to send users to a fake login page.

A攻擊者可能濫用重新導向功能,將使用者送到假的登入頁面
B攻擊者可能修復重新導向功能
C攻擊者可能提高網站載入速度
D攻擊者可能刪除自己的帳號
💡 abuse the redirect feature(濫用重新導向功能)+ fake login page(假的登入頁面)是 Open Redirect 最常見的攻擊場景:使用者以為點的是熟悉的網站連結,卻被送到仿冒的登入頁面,輸入帳密後遭到竊取。