بستن باگ open redirect در ریلز ۵

درود دوستان عزیز
من یه وب اپ دارم که تیم security ازم ایراد گرفته که open redirect میتونیم بزنیم توی وب اپت
حالا خواستم اینو ببندم من فکر میکنم یه بیست سی نفری تو این گروه ریلز کار کردن انتظار دارم از دوستان که راهنماییم کنن ممنونم

URL از کاربر گرفته میشه یا توی دیتابیس ذخیره میکنی؟
امکان وایت لیست کردن url ها هست؟

url از کاربر گرفته میشه

یعنی با وایت لیست کردن ٓurl ها patch میشه؟

با سرچ مشکلتون حل نمی شه؟

how to secure open-redirect in ruby and rails

چون خیلی مقاله براش هست

1 Likes

کاربر هر url ای میتونه بده؟ یا باید از یه سری آدرس مشخص باشه؟
وقتی url داد باش چکار میکنید؟
باید یه توضیح کلی بدی که ببینم کجا و چطور میشه روش کار کرد

آره هر url میتونه بده ولی من مچ کردم که اگه url که کاربر میده وجود نداشت بره به روت پروژه

متوجه نشدم چکار کردی اما اگر مشکل حل شده که هیچی

طرف با burpsuit تست زده فکر نکنم خودش هم فهمید چیکار کرده یه url رو گذاشت توی GET اپ من بعد اون url باز شد