Top 10 2013-A10-Unvalidated Redirects and Forwards
Felipe Dias Blazckiewicz¹, Thiago Freitas¹

¹ Sistemas de Informação - Faculdade Dom Bosco de Porto Alegre (FDB)
Porto Alegre – RS – Brasil

{felipedblaz@gmail.com, thiago@rcetelecom.com.br}

Resumo. Sites frequentemente redirecionam ou encaminham os usuários para outras páginas e sites, e podem usar alguns dados não confiáveis para determinar as páginas de destino. Sem a validação adequada, os atacantes podem redirecionar as vítimas para sites malware ou phishing, ou até mesmo usar dados sigilosos, para acessar páginas maliciosas e realizar atividades não autorizadas.

1. Introdução
Através de nossa breve pesquisa conseguimos identificar que os mecanismos de redirecionamento e encaminhamento são fundamentais para o dinamismo e contribui para a facilidade e agilidade de navegação dos usuários da “grande rede”.
Entretanto, alguns usuários utilizam estas implementações, que se estiverem mal configuradas podem se tornar portas de acesso para ataques de espionagem. Grande parte destes ataques tem como vitimas sites governamentais, redes sociais e principalmente portais de agências financeiras.
Durante o artigo, analisaremos algumas formas de ataque destas implementações, citando alguns exemplos que foram testados.

2. Redirecionamentos (Redirects) e Encaminhamentos (Forwards)
Ninguém gostaria de ter URLs malware ou spam em seu domínio, e é por isso que nós procuramos utilizar boas práticas de segurança. Atualmente, os desenvolvedores vêm enfrentando uma série de situações onde é necessário utilizar o redirecionamento dos usuários para outra pagina ou o encaminhamento dos dados dos usuários para outra página. Mas como o desenvolvimento nem sempre é realizado da maneira correta, "Spammers" usufruem desta falha de segurança para tirarem proveito do seu site, usam o seu domínio como uma "página de destino" temporário para enganar os usuários. Investigadores e motores de busca acessam links que parecem