À quoi sert (ab) l'utilisation de la page de redirection de mon site Web pour les URL douteuses?
Mon site Web a une page de redirection au format https://my.site/redirect?deeplink=https://foo.bar& ...
La redirection est implémentée en Javascript, donc lorsque vous demandez le site, vous obtenez un 200 et du HTML + JS, pas un 30X.
J'ai récemment commencé à remarquer que quelqu'un abusait de la page de redirection pour des liens douteux (pistolets, viagra, ...). Il était suspect que le trafic de la page augmente considérablement, surtout la nuit, alors qu'il devrait y avoir à peine du trafic.
J'ai commencé à enregistrer les demandes, y compris le référent. Les référents semblent être toutes sortes d'hôtes différents (pas les mêmes à chaque fois) mais redirigent principalement les pages elles-mêmes. Des exemples sont
- http://foo1.bar/cgi/mt4/mt4i.cgi?cat=12&mode=redirect&ref_eid=3231&url=http://my.site/redirect ...
- http://foo2.bar/modules/wordpress/wp-ktai.php?view=redir&url=http://my.site/redirect ...
- http://www.foo3.bar/core.php?p=books&l=en&do=show&tag=2774&id=20536&backlink=http://my.site/redirect ...
- http://www.google.sk/url?sa=t&rct=j&q=&esrc=s&source=web&cd=172&ved=0CCMQFjABOKoB&url=http://my.site/redirect ...
En fait, je contrôle les URL vers lesquelles les utilisateurs doivent être légitimement redirigés, j'ai donc mis en place une liste blanche d'hôtes valides et commencé à rediriger ceux qui ne sont pas valides vers ma page de démarrage.
Ce que je me demande, pourquoi quelqu'un abuserait-il de ma page de redirection de la manière décrite? Et y a-t-il des risques dont je devrais être conscient?
En supposant que les gens font confiance à votre site, abuser de redirections comme celle-ci peut aider à éviter les filtres anti-spam ou tout autre filtrage automatisé sur les forums/formulaires de commentaires/etc. en apparaissant comme un lien vers des pages de votre site. Très peu de gens cliquent sur un lien vers https://evilphishingsite.example.com , mais ils peuvent cliquer sur https://catphotos.example.com?redirect=https:/ /evilphishingsite.example.com , surtout s'il a été formaté en https://catphotos.example.com pour masquer la redirection à l'inspection occasionnelle - même si vous regardez dans la barre d'état en survolant au-dessus de cela, il commence par une chaîne d'aspect raisonnable.
Les principaux risques sont liés à la réputation de votre site (il est plus susceptible d'être mis sur liste noire en filtrant les services s'ils détectent un trafic douteux auquel il accède) et aux personnes qui suivent ces liens (qui sait ce qui se trouve réellement sur l'autre site que vous leur envoyez) à). Il est peu probable que cela compromette directement votre serveur.
Si vous avez une page de connexion sur votre site, les méchants auraient pu utiliser votre redirection ouverte pour créer une page de phishing plus efficace pour vos utilisateurs.
De https://www.owasp.org/index.php/Unvalidated_Redirects_and_Forwards_Cheat_Sheet
Les redirections et les transferts non validés sont possibles lorsqu'une application Web accepte une entrée non approuvée, ce qui pourrait amener l'application Web à rediriger la demande vers une URL contenue dans une entrée non approuvée. En modifiant l'URL non fiable sur un site malveillant, un attaquant peut réussir à lancer une arnaque par hameçonnage et voler les informations d'identification de l'utilisateur. Étant donné que le nom du serveur dans le lien modifié est identique au site d'origine, les tentatives de phishing peuvent avoir une apparence plus fiable. Les attaques de redirection et de transfert non validées peuvent également être utilisées pour créer de manière malveillante une URL qui passerait le contrôle de contrôle d'accès de l'application, puis transmettrait l'attaquant à des fonctions privilégiées auxquelles il ne pourrait normalement pas accéder.
Le nœud du problème est que l'utilisation de votre redirection tire parti de la bonne réputation de votre entreprise pour amener quelqu'un à cliquer sur le lien malveillant.
Votre site Web n'est peut-être pas sur liste noire, contrairement à un autre.
En supposant qu'ils l'utilisaient pour envoyer des liens de spam, il semblerait plus raisonnable qu'il provienne d'un nouveau domaine. Je suppose qu'ils enverraient du spam de votre site assez longtemps pour qu'il soit mis sur liste noire, auquel cas ils pourraient laisser tomber le vôtre et essayer d'en trouver un autre.