جستجو برای:
  • صفحه اصلی
  • آموزش ها
    • آموزش های هک و امنیت
    • آموزش های شبکه
    • آموزش های لینوکس
    • آموزش های داده کاوی
    • آموزش های طراحی سایت و سئو
    • آموزش های برنامه نویسی
    • آموزش های آمار و احتمالات
  • اخبار
  • دوره های آموزشی
  • درباره ما
 
  • info@zodiaclp.com
  • دوره ها
  • بلاگ
زودیاک - آموزش هک و امنیت ، آموزش ابزار هک و امنیت
  • صفحه اصلی
  • آموزش ها
    • آموزش های هک و امنیت
    • آموزش های شبکه
    • آموزش های لینوکس
    • آموزش های داده کاوی
    • آموزش های طراحی سایت و سئو
    • آموزش های کاربردی
  • اخبار
  • دوره های آموزشی
  • درباره ما
0

ورود و ثبت نام

باگ Open Redirect چیست ؟

2020/07/15
ارسال شده توسط ارسلان بهزادی نژاد
آموزش ها ، آموزش های هک و امنیت
222 بازدید
باگ open redirect چیست

باگ open redirect چیست ؟

درود به کاربران عزیز پلتفرم آموزشی زودیاک ، مرجع آموزش هک و امنیت

در این آموزش قصد داریم به معرفی یک باگ بسیار خطرناک برویم. اسم این آسیب پذیری ، باگ open redirect است.

مانند تمامی دیگر باگ ها ، این باگ هم از اشتباه برنامه نویس به وجود می آید.

اما کارکرد این حفره امنیتی به چه شکل است ؟

در این حفره امنیتی ورودی یک صفحه که در URL آدرس دهی میشود،

بدون کنترل مقدار دهی می شود و مهاجم می تواند با استفاده از همان ورودی آسیب پذیر ،

کاربر را به یک سایت و آدرس دیگر هدایت کند.

گاها ممکن است آدرس جدیدی که کاربر به آن هدایت می رود تنها یک سایت معمولی باشد که مهاجم از این تکنیک استفاده می کند تا ترافیک سایت خود را بالا ببرد اما ممکن است سایت جعلی باشد و مخر باشد و به محض ورود ، هکر بتواند از کامپیوتر یا گوشی شما دسترسی کامل بگیرد.

برای آشنایی با انواع باگ ها به آموزش زیر مراجعه کنید :

انواع باگ وبسایت ها

شدت خطرناکی این باگ زمانی مشخص می شود که فرض کنید

که گوگل دارای چنین باگی باشد و یک هکربتواند به آن مقدار دست پیدا کند.

مسلما گوگل پربازدید ترین سایت جهان است و هکر می تواند با مقدار دهی به ورودی آسیب پذیر و ارجاع اون به یک سایت مخرب ، تمامی کاربران گوگل را تحت تاثیر حمله خود قرار بدهد و یک شبه به تعداد بسیار زیادی کامپیوتر و موبایل در سراسر جهان نفوذ کند.

اما باگ open redirect چگونه کار می کنید ؟

تشریح باگ open redirect

احتمالا تا به حال شده که به صفحه دوم یک سایت خبری یا فروشگاه رفته باشید

و عبارت Page=2 را در URL دیده باشید.

در اینجا پارامتر صفحه از اخبار یا محصولات فروشگاه مقدار دهی شده و عبارت 2 در ان قرار گرفته است. در این حالت سایت صفحه دوم را برای شما بارگذاری میکند.حال فکر کنید در اینجا بجای مقدار 2 ، یک آدرس سایت قرار بگیرد. یعنی Page=https://www.example.com در اینجا کاربر بجای صفحه دوم به سایت example.com ریدایرکت می شود. به مثال زیر توجه کنید. فرض کنید site.com در صفحه اخبار ها که news است در مقدار صفحات این باگ را داشته باشد. در این حالت ارجاع کاربران با آدرسی مانند زیر ممکن می شود :

https://www.site.com/news.php?page=https://www.example.com

در اینجا کاربر به جای ورود به صفحات اخبار ها ، به سایت example هدایت می شود و اگر سایت example مخرب باشد براحتی کاربر در معرض نفوذ مهاجم قرار می گیرد.

از باگ open redirect در حملات فیشینگ بسیار استفاده می شود

به این صورت که کاربر بر روی لینک در سایت واقعی کلیک می کند و به یک صفحه جعلی مشابه درگاه پرداخت بانک ارجاع داده می شود که خود هکر ان را طراحی کرده است و براحتی اطلاعات کارت را به سرقت می برد.

امنیت باگ open redirect

مبتدی ترین راه استفاده از فایروال و WAF است تا ورودی ها را کنترل شده مقدار دهی کند.

اگر هم برنامه نویس هستید باید ورودی پارامتر ها را مدیریت کنید و محدودیت در آنها ایجاد کنید.

به عنوان مثال در پارامتر page تنها باید مقدارعددی وارد شود نیازی نیست مقادیر حروفی و کاراکتر وارد شود.  سپس باید از اجرا https و http در url جلوگیری کنید.

امیدوارم از آموزش باگ open redirect لذت برده باشید.

شاد و پیروز باشید.

اشتراک گذاری:
برچسب ها: آموزش هکآموزش هک و امنیتباگ نرم افزاریتست نفوذحفره امنیتی

مطالب زیر را حتما مطالعه کنید

رمزنگاری و رمزگشایی

رمزنگاری و رمزگشایی چیست ؟ و بررسی انواع الگوریتم های رمزنگاری

کشف ورودی آسیب پذیر سایت

کشف ورودی آسیب پذیر سایت

افزایش حجم درایو C ، یک ترفند کاربردی

افزایش حجم درایو C ، یک ترفند کاربردی

بستن آپدیت ویندوز 10

بستن آپدیت ویندوز 10 به 4 روش ساده

ویژگی های ویندوز 10 که از وجود آنها بی خبر هستید

ویژگی های ویندوز 10 که از وجود آنها بی خبر هستید

الگوریتم درخت تصمیم

درخت تصمیم ( Decision tree ) چیست ؟

قدیمی تر امنیت سایت با ابزار tishna
جدیدتر تست نفوذ وایرلس با ابزار dronesploit

دیدگاهتان را بنویسید لغو پاسخ

جستجو برای:
  • محبوب
  • جدید
  • دیدگاه ها
قبلی بعدی
درباره زودیاک

پلتفرم آموزش زودیاک در سال 1398 در راستای افزایش دانش دوست داران حوزه فناوری اطلاعات ، تاسیس شده است.

  • info@zodiaclp.com
دسترسی سریع
  • آموزش ها
  • دوره ها
  • اخبار
  • حساب کاربری
  • سبد خرید
  • درباره ما

زودیاک در شبکه های اجتماعی
تمامی حقوق برای پلتفرم آموزشی زودیاک محفوظ می باشد.

ورود

رمز عبور را فراموش کرده اید؟

هنوز عضو نشده اید؟ عضویت در سایت