Исследователи подсчитали уязвимые редиректы на легальных сайтах

Созданный в университете штата Индиана специализированный поисковик просканировал около 2,5 миллиона веб-страниц и обнаружил 128000 открытых html-редиректов, которые могут использоваться для распространения спама и осуществления фишинговых и мошеннических схем.

Полученная статистика поразила исследователей. Если принимать во внимание, что они посещали только наиболее популярные веб-сайты и не применяли изощренные технологии – такие, как яваскрипт или сложные URL-коды, фактическое число открытых редиректов в Сети должно значительно превышать зафиксированный ими показатель.

Веб-ссылки, автоматически перенаправляющие сетевой трафик с одной страницы на другую, широко используются владельцами интернет-ресурсов при реорганизации веб-сайтов, размещении стороннего контента, для компенсации возможных опечаток в имени ресурса, допускаемых потенциальными клиентами солидного сервиса, и т.п.

Однако отсутствие ограничений на исполнение данной функции позволяет подобному открытому редиректу связывать пользователя с любым веб-сайтом, что создает благоприятную почву для злоупотреблений. Криминальные элементы используют данную уязвимость для привлечения потенциальных жертв на свои ресурсы, а «белая» репутация внедряемых в нелегитимные послания ссылок помогает им обманывать
бдительность получателей злонамеренных писем и успешно обходить защитные фильтры.

Источник: blog.washingtonpost.com