Memahami dan Menemukan Kerentanan Open Redirection

Sunday, January 21, 2018

Memahami dan Menemukan Kerentanan Open Redirection - Yup sesuai dengan judulnya kali ini saya akan membahas apa itu kerentanan Open Redirection. Celah Open Redirection atau juga dikenal dengan "Unvalidated Redirects and Forwards" sebenarnya adalah celah yang banyak ditemukan selain bug XSS. Anehnya, masih banyak developer yang mengabaikan celah ini.


Sebenarnya apa sih bug Open Redirection?
Kerentanan ini memungkinkan attacker untuk mengarahkan pengunjung dari situs terpercaya ke situs malware atau phising tanpa autentifikasi dari admin situs. Bergantung pada arsitektur situs web yang rentan, pengalihan bisa terjadi setelah tindakan tertentu, seperti login, dan terkadang hal itu bisa terjadi seketika saat memuat sebuah halaman.
sumber gambar: microsoft.com

Gambar ilistrasi diatas menunjukkan bagaimana alur dari celah open redirection. 
Contohnya ketika seseorang mengakses
www.situsweb.com/parameter.php?url=linuxsec.org dan pengguna diarahkan ke situs linuxsec.org tanpa peringatan, maka disitu terdapat celah open recirect.

Sebenarnya jenis open redirect tidak semuanya sesimpel itu. Beberapa kasus harus dilakukan beberapa bypass terlebih dahulu. Namun tujuannya sama yaitu mengarahkan target ke situs milik attacker. Celah ini kadang tidak diperhatikan oleh developer karena mereka menganggap celah ini tidak mempengaruhi database dan attacker tidak dapat mencuri data hanya dengan celah open redirect.

Tapi taukah kamu, banyak perusahaan besar menghargai siapa saja yang menemukan celah di website atau aplikasi mereka, celah open redirection sekalipun. Alasannya karena mereka sadar betuh tentang keamanan dan bahaya dari kerentanan ini.

Kita ambil contoh saja sebagai berikut :
Seorang attacker menemukan celah open redirection pada situs PayPal. Dengan celah tersebut, dia mulai menebar spam email yang berisi link scampage PayPal namun telah "dibungkus" dengan link open redirection milik situs resmi PayPal. Hasilnya bagi siapa saja yang kurang memperhatikan bahwa url telah dialihkan pasti terjebak ke situs phising milik attacker.

Kira kira seperti itulah contoh bahaya dari kerentanan open redirection. So, mulailah memeperhatikan masalah security. Dimulai dari hal yang kecil.

Artikel Terkait Security ,Vulnerabilities

No comments:

Post a Comment