Наноаналитика по открытым редиректам на сайтах банков
Сегодня сделали анализ сайтов банков РФ на наличие Open Redirect. Напомним, что открытый редирект - это уязвимость web-приложения, позволяющая путём манипуляции параметров в URL перенаправить пользователя на ресурс, непредусмотренный разработчиком, например так: {домен_жертва}/.../redirect.php?goto={домен_цель}
Исходные данные: 358 адресов сайтов банков с сайта ЦБ РФ; Из них 140 созданы с использованием одной известной CMS; Из них 27 имеют открытые редиректы (19.29%); Добро пожаловать социальная инженерия.
На человеческий фактор ругайся, но сам не плошай.
Кстати, у нас появился информационный раздел для служб ИБ с бесплатными материалами, в том числе есть чек-лист по техническим аспектам защиты от электронной социальной инженерии (про редиректы там тоже есть)
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.
Прокачайте свою безопасность с Security Vision на SOC Forum.
Приходите на стенд Security Vision на SOC Forum и познакомьтесь с ТОП ИБ-решениями компании: Next Generation SOAR | VM | SIEM | SGRC | TIP и другими! Посмотрите их в действии и получите индивидуальные консультации экспертов Security Vision!
