Open Redirect
Ocorre quando uma aplicação aceita um parâmetro de URL que controla um redirecionamento sem validação.
O Risco
Um atacante pode criar um link que parece legítimo para o seu site, mas redireciona o usuário para um site de phishing.
- Exemplo malicioso:
https://portaltelemedicina.com.br/login?redirect=https://site-malicioso.com
O usuário confia no domínio inicial e acaba inserindo credenciais no site de destino sem perceber a mudança.
Melhores Práticas
✅ Como fazer
- Valide o destino contra uma lista branca (allowlist) de domínios permitidos.
- Prefira redirecionamentos baseados em caminhos relativos (ex:
/dashboardem vez dehttps://site.com/dashboard). - Se precisar de redirecionamentos externos, use uma página de aviso intermediária informando que o usuário está saindo do site.
❌ Como não fazer
- Jamais redirecione o usuário diretamente usando um parâmetro de URL sem qualquer validação.