網址中不同的參數有不同功用,如 Google 的 ?continue 便可讓用戶登入後自動轉頁至該網站,但正因這樣,有電腦保安專家認為不法分子可用這參數來釣魚,欺騙受害人瀏覽釣魚網站和下載惡意檔案。
Google 的登入網址有一個 continue 的參數,該參數的值決定用戶登入後自動前往的網址。雖然 Google 已設定白名單,只有 Google 域名的網址才可轉址,但研究人員 Aidan Woods 稱,只要利用 ?continue=http://www.google.com/amp/example.com ,登入後便可轉址至任何網站。他指出,不法分子可藉此插入釣魚網站,讓用戶登入後轉址至偽造的「請重新輸入密碼」網頁,騙取登入資訊。
除了 Open Redirect 之外,Woods 亦指出 continue 參數可插入 Google Doc 文件的網址 https://docs.google.com/uc?id=[檔案 ID]&export=download,用戶登入時檔案便會自動下載。如此一來不法分子便可散播惡意檔案。
不過 Google 不認為這是安全漏洞,事態並不嚴重,無意修復問題。
Source : Business Insider
