onsdag 28 april 2010

RSnake om Unvalidated Redirects and Forwards

Robert Hansen, alias RSnake, intervjuas av OWASP gällande nyheten på OWASP Top 10 2010 -- Unvalidated Redirects and Forwards. Han har ett par intressanta exempel på när det kan vara allvarligt.

Ta situationen där visst innehåll på en sajt skyddas bakom inloggning. En attackerare kan då länka till en redirect-sida som den legitima sajten skyddar med inloggning. Typ:

http://legitimsajt.se/protected/redirect.action?target=http://attacksajt.se

Sajten ber offret logga in och redirect:ar sen till attackerarens sajt. Attacksidan har precis samma utseende som den legitima sajten men där står det att offrets lösenord har gått ut och att han/hon måste skriva in sitt gamla lösenord och sen välja ett nytt (tack så mycket säger attackeraren). Efter det så skickas offret tillbaka till den legitima sajten som känner igen den pågående sessionen och inte vet att offret varit på villovägar.

Hela tricket här är att öka offrets förtroende genom den normala inloggningsproceduren. Det ökar chansen att lura av honom/henne lösenordet i nästa steg.

Listan på de senaste podcast-avsnitten finns här och en direktlänk till intervjun med RSnake finns här (mp3).

Inga kommentarer: