ASP.NET MVC – przekierowanie do powrotnej strony, luka w bezpieczeństwie

Ciekawostka: http://www.asp.net/mvc/tutorials/security/preventing-open-redirection-attacks

W ASP.NET MVC 1.0 oraz 2.0 istnieje pewna luka, umożliwiająca przeprowadzanie ataku phishing. Zwykle returnUrl w QueryString zawiera powrotny adres, ale można go zmienić na dowolny a ASP.NET MVC 1.0 i 2.0 nie sprawdza czy link należy do tej samej domeny. Więcej informacji w powyższym linku.

Leave a Reply

Your email address will not be published.