オープンリダイレクター


オープンリダイレクター

オープンリダイレクターとは、まったく検証を行うことなく、パラメーターの値に基づいてユーザーエージェントをリダイレクトするように構成されたエンドポイントのことです。Login with Amazonにオープンリダイレクターが仕掛けられる可能性もあります。攻撃者は、ユーザーが正規のウェブサイトへのアクセスを認可するように誘導しますが、認可サーバーがユーザーエージェントをクライアントにリダイレクトするところで、オープンリダイレクターがそのリダイレクトを攻撃者に渡します。

したがって、Login with Amazonのクライアントウェブサイトでは、認証に使用されるリダイレクトURIのターゲットがオープンリダイレクターとして構成されていないことを確認する必要があります。

オープンリダイレクターの一般的なパターンには次のものがあります。

  • example.com/go.php?url=
  • example.com/search?q=user+search+keywords&url=
  • example.com/coupon.jsp?code=ABCDEF&url=
  • example.com/login?url=