Unvalidated Redirects and Forwards(OWASP A8)

1. 攻擊手法
     攻擊者利用網站未經過驗證的Redirect和Forward進行攻擊。
         a.  未經過驗證的Redirect：攻擊者可以利用此弱點欺騙使用者點選連結並重新導向到惡意網址。
              Example: http://www.google.com/redirect.jsp?url=hacker.com/malware.exe
         b.  未經過驗證的Forward：攻擊者可能會利用此弱點跳過存取控制，直接連結到管理功能頁
              面。
             Example: http://www.google.com/forward.jsp?fwd=admin.jsp

2. 自我網站檢查
        a.  檢查所有可以帶有參數的Redirect和Forward，是否有驗證參數的功能。

3. 如何預防
        a. 簡單的避免使用 Redirect和Forward。
        b. 若要使用，不要把使用者輸入的參數當作決定目的端的一部分。
        c. 若無法避免，則需要驗證使用者輸入的參數。