オープンリダイレクタ

Railsセキュリティガイド リダイレクト

必要なもの

• サンプル・アプリケーション
• 被害者の役割のためのブラウザ

リダイレクタの利用

• サイト内から外部サイトへ誘導した際に記録する。 　　- http://localhost:3000/campaigns/cool_something
• 外部サイトからサイトへ誘導してもらったときに記録を残す。 　　- outside/redirector/cool_site_campaign.htmlをブラウザで開く。

リダイレクタの悪用

• 外部サイトから、信用のできるサイトと見せかけて外部サイトへ誘導する。 　　- outside/redirector/spam_site_campaign.htmlをブラウザで開く。

直し方

• リダイレクト先を登録しておくホワイトリスト型にする。
• リダイレクトする前に、遷移する旨を伝えるクッションページを置く。