Open Redirect

Wenn Anwendungen und Websites Anfragen für URLs (Uniform Resource Locator) haben, sollen sie überprüfen, ob diese URLs zur Domäne der gewünschten Seite gehören. Eine offene Weiterleitung (Open Redirect) ist ein Fehler in diesem Prozess, der es Angreifern ermöglicht, Benutzer auf bösartige Websites von Drittanbietern zu leiten. Websites oder Anwendungen, die URLs nicht authentifizieren, können zu einem Vektor für bösartige Weiterleitungen zu überzeugenden gefälschten Websites für Identitätsdiebstahl oder Websites, die Malware installieren, werden.

Normalerweise ist die Weiterleitung eine Technik, mit der Benutzer auf eine andere Webseite als die angeforderte URL umgeleitet werden. Webmaster verwenden Umleitungen aus triftigen Gründen, beispielsweise wenn Ressourcen nicht mehr verfügbar sind oder an einen anderen Ort verlegt wurden. Webnutzer stoßen häufig auf Weiterleitungen, wenn sie die Website eines Unternehmens besuchen, dessen Name geändert wurde oder das von einem anderen Unternehmen übernommen wurde.

Die Heartbleed-Schwachstelle, von der ursprünglich berichtet wurde, dass sie durch verdeckte Weiterleitungen ermöglicht wird, wurde schließlich als Ergebnis der weniger schwerwiegenden - aber immer noch unverantwortlichen - Aktivierung einer offenen Weiterleitung entdeckt.