أهلاً ومرحبا بكل أعضاء وزوار مجتمع أكتب كود .. يمكنك تسجيل عضوية فى منتديات أكتب كود .. لتتمكن من عرض الموقع بدون أعلانات ( التسجيل مجاناً )
  1. المدير العام

    المدير العام أدارة موقع أكتب كود

    شرح طريقة اكتشاف ثغرة اعادة التوجيه OpenRedirect في موقع deliveroo.co.uk
    ما هي ثغرة اعادة التوجيه ؟
    ثغرة ال Open Redirect أو ما تسمي أيضا بال Unvaildated Redirect هي إحدى ثغرات الويب اللتي يكون سببها عدم تحقق مطوري الموقع من الروابط التي يتم توجيه المستخدمين إليها والذي يمكن أن يؤدي لعدة مخاطر أبرزهم و أكثرهم شيوعا هو هجمات ال Phishing أي التصيد الإحتيالي وهي الهجمات اللتي تعتمد علي ال Social Engeneering والإحتيال علي الضحية لجعله يضغط علي رابط ما ليتم اختراقه.

    [​IMG]

    الملخص :
    يقوم الموقع باعادة توجيه المستخدمين بطريقة غير امنه, يعني لايقوم بالتحقق من قيمة الباراميتر “app_url” مما يسمح للمهاجم بتوجيه المستخدمين الى مواقع ضارة عند الضغط على الرابط المصاب :
    كود:
     https://deliveroo.co.uk/en?$link_path=/&$app_url=
    POC1​
    كود:
     https://deliveroo.co.uk/en?$link_path=/&$app_url=https://www.yahoo.com
    خطر الثغرة :
    يمكن للمهاجم بان يقوم باستخدام هذه الثغرة لتحويل المستخدمين الى مواقع ضارة مسيطر عليها المهاجم وايضا يقوم بتنفيذ هجمات التصيد الاحتيال

    كيف يتم اصلاح الثغرة :
    1. حاول تجنب عمليات اعادة التوجيه تماما ان امكن
    2. اذا قمت باستخدام عمليات اعادة التوجيه فقم بتحديد الموقع الذي تريد تحويل المستخدمين اليه فقط
    3. تنفيذ عمليات التحقق من صحة الهدف الذي سيتم توجيه المستخدمين اليه
    4. اجعل المطورين على دراية بخطر الثغرة وكيف تحدث
    المراجع : https://www.neuralegion.com/blog/open-redirect-vulnerabilities
     
جاري تحميل الصفحة...
المشاركات المتشابهة - شرح اكتشاف ثغرة
  1. المدير العام
    الردود:
    0
    المشاهدات:
    51
  2. المدير العام
    الردود:
    0
    المشاهدات:
    52
  3. المدير العام
    الردود:
    0
    المشاهدات:
    34
  4. المدير العام
    الردود:
    0
    المشاهدات:
    38
  5. المدير العام
    الردود:
    0
    المشاهدات:
    34

مشاركة هذه الصفحة