信頼できないURLへの自動接続

概要

オープンリダイレクトは、攻撃者が指定したURLへアプリケーションが利用者を転送すると発生します。

影響

正規サイトから転送が始まるため、フィッシング、トークン窃取、信頼の悪用につながります。

対策

信頼済みの遷移先だけを許可し、リダイレクトIDをサーバー側URLに対応付け、外部または不正な遷移先を拒否します。

例

<html>
<head>
</head>
<body>
    URL : ${param.url}
  <%
       if (request.getParameter("url") != null)
           response.sendRedirect(request.getParameter("url"));
  %>
</body>
</html>