Webサーバー汎用3xxリダイレクト

medium Nessus プラグイン ID 33927
New! プラグインの深刻度には CVSS v3 が適用されるようになりました。

プラグインの深刻度は、デフォルトで CVSS v3 を使って計算されるように更新されました。プラグインに CVSS v3 スコアがない場合には、CVSS v2 を使って深刻度が計算されます。深刻度の表示設定は、[設定]のドロップダウンで切り替えができます。

概要

リモートWebサーバーでは、任意のドメインへのリダイレクトが可能です。

説明

リモートWebサーバーは、HTTP 302、303、または307レスポンスを使用してユーザーをリダイレクトするように構成されています。ただし、サーバーは、オリジナルのリクエストに含まれているコンポーネントを含むドメインにリダイレクトすることができます。

リモート攻撃者が、これを悪用して、リモートサーバーに解決されたように見えるが悪意のある場所にリダイレクトされるURLを細工する可能性があります。

ソリューション

修正については、Webサーバーベンダーにお問い合わせください。

関連情報

https://www.owasp.org/index.php/Phishing

http://www.technicalinfo.net/papers/Phishing.html

プラグインの詳細

深刻度: Medium

ID: 33927

ファイル名: redirect_30x_arbitary_domain.nasl

バージョン: 1.12

タイプ: remote

ファミリー: CGI abuses

公開日: 2008/8/18

更新日: 2021/1/19

依存関係: find_service2.nasl, http_version.nasl

リスク情報

CVSS v2

リスクファクター: Medium

Base Score: 4.3

ベクトル: AV:N/AC:M/Au:N/C:N/I:P/A:N

脆弱性情報

参照情報

CWE: 20, 74, 79, 442, 629, 711, 712, 722, 725, 750, 751, 800, 801, 809, 811, 864, 900, 928, 931, 990