Open Redirect è una vulnerabilità che si riscontra quando uno script permette il reindirizzamento ad una pagina esterna del sito.
Ciò diventa pericoloso quando un normale utente può essere reindirizzato da un sito “A” a un altro “B” senza accorgersi di nulla.
Se il sito di destinazione ha aspetto simile a quello originale, l’utente non noterà probabilmente niente e diverrà vittima di phishing.

Commento spammoso


Il link azzurro, nell’immagine, nasconde http://www.trusted-site.xz/partners/page.redir?target=http://www.malicious-site.xz/

La vittima di questo meccanismo fa l’errore di cliccare sull’URL, pensando di visitare una pagina di trusted-site.xz, invece finisce sulla home page di malicious-site.xz. Capita, a volte, che alcuni CMS riducano i collegamenti più lunghi, camuffando così ulteriormente la minaccia dell’Open Redirect.

L’Open Redirect non è solo adoperato per rubare codici di accesso (login, password, numero di carte di credito,…), ma pure i Search Engine
Optimizator più scaltri sfruttano tale vulnerabilità. Essi potrebbero inviare i link in blog o forum al fine di promuovere i loro siti e servizi web. La maggior parte di questi usa questa tecnica per inviare commenti spam riguardanti farmaci e giochi d’azzardo (casinò, poker…).

Due esempi di Open Redirect per inviare commenti spammosi

Uno “strano” effetto alquanto particolare dell’uso di Open Redirect è il posizionamento nei motori di ricerca con espressioni tipo “.com/cgi-bin/redir”, che apparentemente non hanno nulla a che vedere con i casinò online, ma che mostrano inequivocabilmente chi trae maggior beneficio dallo sfruttamento del “reindirizzamento aperto”.

Chi si avvantaggia con l'Open Redirect?

Come mai i Black Hat SEO usano l’Open Redirect, e cosa comporta la falla?

E’ possibile sfruttare la popolarità e il ranking ottenuto dal sito bacato. Per esempio con il link http://www.trusted-site.xz/partners/page.redir?target=http://www.malicious-site.xz/ciao.html, un motore di ricerca potrebbe erroneamente ritenere che la pagina ciao.html sia appartenente al sito del dominio trusted-site.xz.

Attenzione perchè il motore di ricerca può penalizzare un sito web con uno script che permetta l’Open Redirect: Google avverte che l’Open Redirect comporta problemi di cattiva vicinanza (bad neighborhood) per i trusted-site.

Tra l’altro usando il Google Webmaster Tools, il proprietario di trusted-site vedrà comparire nelle statistiche http://www.trusted-site.xz/partners/page.redir?target=http://www.malicious-site.xz/ciao.html.

Questo è un ottimo segnale per capire se il proprio sito web mette a disposizione questa vulnerabilità; per rimediare si possono seguire i consigli
inclusi in questa pagina.

Tendenzialmente ogni Open Redirect dovrebbe essere evitato, per cui sono state trovate alcune soluzioni:

  1. Limitare reindirizzamenti a sole pagine interne.
  2. Consentire il reindirizzamento solo a siti in una white-list.
  3. Bloccare tutti i reindirizzamenti incondizionatamente.

L’ideale è eliminare gli Open Redirect così da assicurarsi totale sicurezza, ma a volte è preferibile farne uso. Gli approcci alla risoluzione della questione sono diversi.

In alcuni siti (come Yahoo!), quando si tenta di reindirizzare verso un sito esterno al network del motore di ricerca appare una pagina che
avvisa l’utente di ciò che sta accadendo.

Alert in Yahoo!

Ecco infine una lista di url (attivi e funzionanti) che permettono l’Open Redirect verso la sezione italiana di un noto sito di aste on line
(naturalmente, se si desidera sfruttare la falla, lo si fa a proprio rischio e pericolo, prendendosi tutte le responsabilità del caso):

Open Redirect verso eBay

Articolo scritto da SeoDart per il TagliaBlog: se l’argomento ti interessa, puoi leggere appunti di un Black Hat SEO (un ebook gratuito sull’arte oscura del posizionamento).

Post correlati: