オープンリダイレクト検査：Locationヘッダ編 - T.Teradaの日記

テクノロジーカテゴリーの変更を依頼記事元:

blog.ts5.me

39 usersがブックマークコメント

コメント

9

記事へのコメント9件

注目コメント
新着コメント

NetPenguin 確認パターン、結構いろいろある。

2013/02/27 リンク

stenpel オープンリダイレクタという名の脆弱性を初めて知った。

2012/03/15 リンク

efcl オープンリダイレクト検査：Locationヘッダ編 HTTPヘッダーに仕込んでオープンリダイレクターとなる場合。区切り文字、先頭に./

2011/07/08 リンク

syanbi Locationヘッダによるリダイレクトに対する脆弱性を解説したエントリ

XSS

2011/04/25 リンク

Cherenkov 脆弱性 xss ?

2011/02/18 リンク

kaito834 「オープンリダイレクト検査：Locationヘッダ編」。オープンリダイレクタの問題における検査手法がまとめられている。パターン1D,1E（Firefox, Opera）、1F（IE, Chrome）がブラウザ依存っぽくて興味深い。

Browser
Vuln

2011/02/15 リンク

hasegawayosuke オープンリダイレクト検査：Locationヘッダ編

security

2011/02/14 リンク

ytoku 2A「URLの先頭の、"http:" や "https:" は省略可能なので、」なん、だと…… / そもそも規格上は絶対URIしか書けないからか

セキュリティ

2011/02/12 リンク

kogawam HTTP Locationヘッダの籠絡。色々あって面白いなあ。

security

2011/02/12 リンク

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

規約違反を報告

アプリのスクリーンショット

いまの話題をアプリでチェック！

バナー広告なし
ミュート機能あり
ダークモード搭載

アプリをダウンロード

関連記事

オープンリダイレクト検査：Locationヘッダ編 - T.Teradaの日記

オープンリダイレクタを脆弱性とみなすべきかは議論が分かれるところです。Google等の一部のサイトは、... オープンリダイレクタを脆弱性とみなすべきかは議論が分かれるところです。Google等の一部のサイトは、自サイトのオープンリダイレクタを脆弱性としてはみていません。一方で、脆弱性検査の現場では、見つかれば脆弱性として報告することが多いと思います。その辺の議論はおいておいて、オープンリダイレクタの検査は、ブラウザの特性もからんで意外とバリエーションが多くて面白いので、本日の日記で取り上げてみたいと思います。大まかにいうと、リダイレクトは、302応答のLocationヘッダ、Refresh（HTTPヘッダ、METAタグ）、JavaScriptによるものがありますが、本日は302応答のLocationヘッダのリダイレクタについて取り上げます。パターン1：サブドメイン部分に値が入る場合以下のように、サブドメインの箇所が動的なケースです。 Location: http://{$u}.haten

ブックマークしたユーザー

todesking2013/10/21
Naruhodius2013/10/21
january2013/10/21
aki772013/05/27
teppeis2013/05/27
a2ikm2013/03/11
NetPenguin2013/02/27
punitan2012/06/14
stenpel2012/03/15
nilfigo2012/03/01
kei21002012/02/02
zaki_zaki2012/02/01
efcl2011/07/08
tyage2011/05/10
Yamashiro02172011/04/25
syanbi2011/04/25
advblog2011/03/16
Kenji_s2011/03/02

同じサイトの新着

同じサイトの新着をもっと読む

いま人気の記事

いま人気の記事をもっと読む

いま人気の記事 - テクノロジー

いま人気の記事 - テクノロジーをもっと読む

新着記事 - テクノロジー

新着記事 - テクノロジーをもっと読む

設定を変更しましたx