Сегодня сделали анализ сайтов банков РФ на наличие Open Redirect.
Напомним, что открытый редирект - это уязвимость web-приложения, позволяющая путём манипуляции параметров в URL перенаправить пользователя на ресурс, непредусмотренный разработчиком, например так: {домен_жертва}/.../redirect.php?goto={домен_цель}
Исходные данные: 358 адресов сайтов банков с сайта ЦБ РФ;
Из них 140 созданы с использованием одной известной CMS;
Из них 27 имеют открытые редиректы (19.29%);
Добро пожаловать социальная инженерия.
На человеческий фактор ругайся, но сам не плошай.
Кстати, у нас появился информационный раздел для служб ИБ с бесплатными материалами, в том числе есть чек-лист по техническим аспектам защиты от электронной социальной инженерии (про редиректы там тоже есть)
.
