Question

Одно приложение разрешало перенаправление на внешние ссылки после входа в систему, используя следующий параметр, например, если я вхожу в систему с https://myawesomeapp.com/en/auth/login?next=http://google.be, я буду перенаправлен в Google. Проблема устранена с помощью функции is_safe_url (из django.utils.http), и мне также следует использовать встроенный LoginView из Django.

Мой вопрос: это нарушение безопасности? Чего может достичь хакер с этим взломом?

Dorofeev Andrey · Answer 1 · 11 января 2019

Хакеры могут сделать фальшивый веб-сайт похожим на ваш, и прислать кому-нибудь ссылки типа https://myawesomeapp.com/en/auth/login?next=https://myawesomeappp.com, и пользователь может быть уверен, что он все еще находится на вашем сайте. Таким образом, пользователь может поделиться учетными данными с хакерами.
https://en.wikipedia.org/wiki/HTTP_response_splitting

Логин Django, перенаправление следующего URL на внешние ссылки

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Логин Django, перенаправление следующего URL на внешние ссылки

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов