Kwaadwillenden kunnen met behulp van een redirect van een bekende site hun eigen pagina van legitimiteit voorzien. Als een gebruiker via een pagina van eBay wordt doorverwezen, is hij eerder geneigd om de informatie op de uiteindelijke pagina serieus te nemen, zo is het idee.

De truc werkt alleen als de bekende site redirects naar elke andere site toestaat: een zogenoemde open redirect. Het is mogelijk om deze mogelijkheid te blokkeren, maar een flink aantal sites laat dat na, zo blijkt uit het rapport 'Exploitable Redirects on the Web: Identification, Prevalence, and Defense' (pdf) van onderzoekers van de Indiana University.

Voor hun onderzoek bekeken de onderzoekers 2,5 miljoen webpagina's. Daarop troffen ze 557.646 redirects aan. Van deze redirects waren er 161.142 die het bestemmingsadres in de originele URL vermelden. Dergelijke URL's kunnen eenvoudig worden misbruikt en in 79 procent van de gevallen (128.058) bleek dat ook mogelijk.

Authenticatie bij redirect

De onderzoekers pleiten voor meer beschermingsmaatregelen, zowel via webserver als aan de client-kant. Zij adviseren beheerders van websites onder meer om een authenticatie-methode in te voeren bij redirects, zodat de webserver kan vaststellen of de bezoeker wel naar de goede pagina wordt doorgestuurd.

Bestaande verdedigingstools voor gebruikers zijn onvoldoende, menen de onderzoekers. Een zwarte lijst met open redirect-pagina's of toolbars die beschermen tegen phishing-sites, hebben bijvoorbeeld als nadeel dat ze alleen beschermen tegen bekende phishing-pagina's en redirects. Phishers kunnen deze verdedigingslinie dus eenvoudig omzeilen.

Volgens de onderzoekers is het zinniger om browsers uit te rusten met hetzelfde gereedschap dat zij hebben gebruikt om open redirects te vinden. Kort gezegd komt dat er op neer dat de browser een web-adres 'scant' op mogelijke adressen in de query string (oftewel: staat het bestemmingsadres in de oorspronkelijke URL?). Door dit mogelijke adres te vervangen door het adres van een testpagina, kan eenvoudig worden vastgesteld of er sprake is van een open redirect. Op basis van deze informatie kan de browser de uiteindelijke bestemming blokkeren of de gebruiker waarschuwen.

Bron: Techworld