Blog gratis
Reportar
Editar
¡Crea tu blog!
Compartir
¡Sorpréndeme!
Blog de la Escuela de Educación Secundaria Técnica N 8 de Quilmes
Administrador Prof. Claudio Enrique Alonso Alvite
img
01 de Septiembre, 2014    General

Bugs de Open Redirect en 22 dominios de Google

Ayer se han publicado hasta un total de 22 dominios nacionales del buscador de Google que permiten un Open Redirect, es decir, que a través de una URL con un dominio de Google se puede navegar a cualquier URL que se pase como parámetro sin que exista ninguna validación previa. 

Figura 1: Descripción de Open Redirect en OWASP

Esto es especialmente importante en aquellos entornos en los que solo se muestra el dominio de la URL, ya que la víctima cree que va a ir a un sitio de Google y va a acabar en una web distinta. Los dominios afectados son:

- Google.se
- Google.ru
- Google.nu
- Google.it
- Google.co.uk
- Google.am
- Google.com.af             
- Google.co.ao
- Google.ae
- Google.be
- Google.com.sl
- Google.com.sa
- Google.com.bh
- Google.com.bd
- Google.com.br
- Google.com.kh
- Google.com.qa
- Google.com.tw
- Google.com.tr
- Google.com.sg
- Google.com.bo
- Google.com.au
Tabla 2: Lista de dominios afectados por Open Redirect

Para explotar el Open Redirect en cualquiera de ellos, basta con utilizar cualquiera de estos dominios con una URL formada de la siguiente manera:
https://www.google.com.sl/search?source=&q=www.elladodelmal.com&btnI=
Un ejemplo de esto se puede ver en el siguiente vídeo de 17 segundos. Como se puede ver en la lista, hay dominios importantes como el de Google Italia o Google.co.uk del Reino Unido.

Figura 2: PoC explotación Open Redirect en Google.se

Cuidado con los dominios de Google que vais a visitar mientras esto esté funcionando, no sea que acabéis en un servidor que esté armado con un kit de exploits y acabéis bien infectados.

Fuente http://www.elladodelmal.com/2014/09/bugs-de-open-redirect-en-22-dominios-de.html

de Chema Alonso

Palabras claves , , ,
publicado por alonsoclaudio a las 12:59 · 4 Comentarios  ·  Recomendar
 
Más sobre este tema ·  Participar
Comentarios (4) ·  Enviar comentario
Hi,

I stumbled upon your site today while searching for data on Ethical Hacking. You have awesome posts. Great Work!

I couldn't help notice that your linked to https://www.owasp.org/index.php/Unvalidated_Redirects_and_Forwards_Cheat_Sheet at your page http://tecnicaquilmes.fullblog.com.ar/bugs-de-open-redirect-en-22-dominios-de-google.html.

I wouLd like to suggest an article I recently created which is more in-depth and well researched article https://www.guru99.com/web-security-vulnerabilities.html .

I would be honoured if you link to it.

I did be happy to share your page with our 25k Facebook/Twitter/Linkedin Followers.

Best,
Alex
publicado por Alex, el 15.07.2019 01:44
Hi,

I stumbled upon your site today while searching for data on Ethical Hacking. You have awesome posts. Great Work!

I couldn't help notice that your linked to https://www.owasp.org/index.php/Unvalidated_Redirects_and_Forwards_Cheat_Sheet at your page http://tecnicaquilmes.fullblog.com.ar/bugs-de-open-redirect-en-22-dominios-de-google.html.

I wouLd like to suggest an article I recently created which is more in-depth and well researched article https://www.guru99.com/web-security-vulnerabilities.html .

I would be honoured if you link to it.

I did be happy to share your page with our 25k Facebook/Twitter/Linkedin Followers.

Best,
Alex
publicado por Alex, el 15.07.2019 02:16
Hi,

I am Alex editor at Guru99. There is 69% chance you will not open this email considering its automated cold mail.

But I must highlight I enjoyed your content at http://tecnicaquilmes.fullblog.com.ar/bugs-de-open-redirect-en-22-dominios-de-google.html

I could not help noticing you link to https://www.owasp.org/index.php/Unvalidated_Redirects_and_Forwards_Cheat_Sheet . I have created a more-in depth article at https://www.guru99.com/web-security-vulnerabilities.html

Can you link to us? I did be happy to share your page with our 25k Facebook/Twitter/Linkedin Followers as a thank you.
Best,
[Alex]
publicado por Alex Nordeen, el 26.07.2019 07:29
Hi,

I am Alex editor at Guru99. There is 69% chance you will not open this email considering its automated cold mail.

But I must highlight I enjoyed your content at http://tecnicaquilmes.fullblog.com.ar/bugs-de-open-redirect-en-22-dominios-de-google.html

I could not help noticing you link to https://www.owasp.org/index.php/Unvalidated_Redirects_and_Forwards_Cheat_Sheet . I have created a more-in depth article at https://www.guru99.com/web-security-vulnerabilities.html

Can you link to us? I did be happy to share your page with our 25k Facebook/Twitter/Linkedin Followers as a thank you.
Best,
[Alex]
publicado por Alex Nordeen, el 26.07.2019 07:30
Enviar comentario

Nombre:

E-Mail (no será publicado):

Sitio Web (opcional):

Recordar mis datos.
Escriba el código que visualiza en la imagen Escriba el código [Regenerar]:
Formato de texto permitido: <b>Negrita</b>, <i>Cursiva</i>, <u>Subrayado</u>,
<li>· Lista</li>
CALENDARIO
Ver mes anterior Agosto 2019 Ver mes siguiente
DOLUMAMIJUVISA
123
45678910
11121314151617
18192021222324
25262728293031
BUSCADOR
Blog   Web
TÓPICOS
» General (2606)
NUBE DE TAGS  [?]
SECCIONES
» Inicio
ENLACES
MÁS LEÍDOS
» Analizando el LiveBox 2.1 de Orange
» Cómo espiar WhatsApp
» Cómo usar Metashield protector for Client y por qué utilizarlo
» Ejecución remota de código arbitrario en OpenSSH
» Ganar dinero con 1.200 Millones de identidades robadas
» Hardware y sus 4 Funcionamientos Basicos y Principales en una Computadora
» Redes de la Deep Web: CJDNS y la Red Hyperboria
» Unidad Central de Procesamiento CPU
» Vulnerabilidad en Youtube permitió borrar cualquier video
» Wassap, la aplicación que permite usar WhatsApp desde la PC
SE COMENTA...
» Cómo espiar WhatsApp
454 Comentarios: KNOWLEDGE HACKERS, KNOWLEDGE HACKERS, FRED NANCY, [...] ...
» Bugs de Open Redirect en 22 dominios de Google
4 Comentarios: Alex Nordeen, Alex Nordeen, Alex, [...]
» Keylogging: técnicas y software para robar contraseñas
2 Comentarios: Alex, Alex
» Wassap, la aplicación que permite usar WhatsApp desde la PC
4 Comentarios: jumanji, alex ...
» Unidad Central de Procesamiento CPU
2 Comentarios: Alex ...
SOBRE MÍ
FOTO

Prof. Claudio Enrique Alonso Alvite



» Ver perfil

AL MARGEN
Escuela de Educacion Secundaria Tecnica N 8 de Quilmes
(Técnicos en Informática Personal y Profesional)
FULLServices Network | Blogger | Privacidad