其他网站通过我的重定向
Other websites redirecting through mine
我们的网站上有一个自制的广告系统。这部分包括代码,当点击广告时,我们首先转到记录点击数据的中间页面,然后将它们重定向到所需广告商的网站。
不幸的是,我们当前的解决方案需要将 URL 参数传递到作为目标 URL 的中间页面。一些精明的广告商发现他们可以将此用于他们自己的邪恶目的,并 "launder" 他们通过我们网站的流量。换句话说,在他们的网站上,他们有一个 link 沿着 www.oursite.com/redirect?URL=www.theirtargetsite.com 的方向,使它看起来像是流量来自我们的网站。
我正在研究一个只会重定向到 URL 的白名单的解决方案,但我的第一个问题更多的是知道它叫什么。当我什至不知道如何称呼它时,很难找到替代方案和可能更好的解决方案。由于存在如此多的欺骗、洗钱和劫持行为,很难找到正确主题的帮助。
A网站在未经B允许的情况下通过B网站重定向到C网站,这叫什么?
您要查找的词是打开重定向。 The MITRE article on this class of vulnerability 有一些可以缓解这种情况的方法示例,例如:
- 将您将重定向到的 URL 列入白名单
- 在重定向之前显示警告页面(在您的情况下可能不可行)
- 使用数字来标识要重定向到的 URL(即,在 table 中查找它们)而不是将目标放在查询参数中
- 使用 HMAC 构造 "sign" URL 重定向,并拒绝没有有效签名的重定向
我们的网站上有一个自制的广告系统。这部分包括代码,当点击广告时,我们首先转到记录点击数据的中间页面,然后将它们重定向到所需广告商的网站。
不幸的是,我们当前的解决方案需要将 URL 参数传递到作为目标 URL 的中间页面。一些精明的广告商发现他们可以将此用于他们自己的邪恶目的,并 "launder" 他们通过我们网站的流量。换句话说,在他们的网站上,他们有一个 link 沿着 www.oursite.com/redirect?URL=www.theirtargetsite.com 的方向,使它看起来像是流量来自我们的网站。
我正在研究一个只会重定向到 URL 的白名单的解决方案,但我的第一个问题更多的是知道它叫什么。当我什至不知道如何称呼它时,很难找到替代方案和可能更好的解决方案。由于存在如此多的欺骗、洗钱和劫持行为,很难找到正确主题的帮助。
A网站在未经B允许的情况下通过B网站重定向到C网站,这叫什么?
您要查找的词是打开重定向。 The MITRE article on this class of vulnerability 有一些可以缓解这种情况的方法示例,例如:
- 将您将重定向到的 URL 列入白名单
- 在重定向之前显示警告页面(在您的情况下可能不可行)
- 使用数字来标识要重定向到的 URL(即,在 table 中查找它们)而不是将目标放在查询参数中
- 使用 HMAC 构造 "sign" URL 重定向,并拒绝没有有效签名的重定向