๐ŸŒ Level 7 – Open Redirect Vulnerability

๐Ÿ”“ Topic: How attackers can trick users with open redirects, and how to test websites ethically for this vulnerability.


๐Ÿ“˜ เฆ•ি เฆเฆ‡ Vulnerability? (What is Open Redirect?)

Open Redirect เฆนเฆฒ เฆเฆฎเฆจ เฆเฆ• เฆงเฆฐเฆจেเฆฐ เฆญুเฆฒ เฆ•เฆจเฆซিเฆ—াเฆฐেเฆถเฆจ, เฆฏেเฆ–াเฆจে เฆเฆ•เฆœเฆจ attacker เฆเฆ•เฆŸি เฆฌিเฆถ্เฆฌเฆธ্เฆค URL-เฆเฆฐ เฆฎเฆง্เฆฏেเฆ‡ เฆเฆ•เฆŸি เฆญুเงŸা/attacker-เฆเฆฐ URL เฆขুเฆ•িเงŸে เฆฆিเฆคে เฆชাเฆฐে। เฆซเฆฒে เฆ‡เฆ‰เฆœাเฆฐ เฆจা เฆฌুเฆে เฆ•্เฆทเฆคিเฆ•เฆฐ เฆธাเฆ‡เฆŸে เฆขুเฆ•ে เฆฏেเฆคে เฆชাเฆฐে।

๐Ÿ” เฆ‰เฆฆাเฆนเฆฐเฆฃ:

https://trusted-website.com/redirect?url=https://malicious-site.com

เฆ‰เฆชเฆฐেเฆฐ URL-เฆŸি เฆฆেเฆ–เฆคে trusted เฆนเฆฒেเฆ“, เฆเฆŸা เฆ‡เฆ‰เฆœাเฆฐเฆ•ে เฆชাเฆ িเงŸে เฆฆেเงŸ เฆเฆ•เฆŸি malicious เฆธাเฆ‡เฆŸে।

⚙️ English Explanation (What is Open Redirect?)

Open Redirect is a vulnerability where a web application allows users to redirect to an external URL without proper validation. Attackers use it to redirect users to phishing or malicious sites.

๐ŸŽฏ Example:

https://example.com/redirect?next=https://evil.com

๐Ÿงช เฆ•িเฆญাเฆฌে เฆŸেเฆธ্เฆŸ เฆ•เฆฐเฆฌেเฆจ? (How to Test for Open Redirect)

  1. Login page เฆฌা เฆ…เฆจ্เฆฏ เฆ•োเฆจো redirect เฆ•เฆฐা URL เฆ–ুঁเฆœুเฆจ
  2. Query parameter (เฆฏেเฆฎเฆจ: ?url= เฆฌা ?redirect=) เฆคে เฆจিเฆœেเฆฐ crafted URL เฆฆিเฆจ
  3. เฆฏเฆฆি เฆธাเฆ‡เฆŸ เฆ†เฆชเฆจাเฆ•ে เฆ“เฆ‡ malicious URL-เฆ เฆจিเงŸে เฆฏাเงŸ, เฆคাเฆนเฆฒে เฆเฆŸি vulnerable

๐Ÿงช Example URL to Test:

https://target.com/login?redirect=https://evil-site.com

❌ เฆ•েเฆจ เฆเฆŸা เฆฌিเฆชเฆœ্เฆœเฆจเฆ•? (Why is it Dangerous?)

  • ⚠️ เฆ‡เฆ‰เฆœাเฆฐ phishing เฆธাเฆ‡เฆŸে เฆชাเฆ াเฆจো เฆฏাเงŸ
  • ⚠️ Login credentials เฆšুเฆฐি เฆ•เฆฐা เฆฏাเงŸ
  • ⚠️ Social engineering attack เฆ•เฆฐা เฆฏাเงŸ
  • ⚠️ Malware-infected เฆชেเฆ‡เฆœে เฆ‡เฆ‰เฆœাเฆฐ เฆชাเฆ াเฆจো เฆฏাเงŸ

๐Ÿ›ก️ เฆ•িเฆญাเฆฌে Fix เฆ•เฆฐเฆฌেเฆจ? (How to Fix Open Redirect)

  • ✅ Redirect URL เฆ—ুเฆฒো whitelist เฆ•เฆฐুเฆจ
  • ✅ External URL redirect block เฆ•เฆฐুเฆจ
  • ✅ Encode เฆฌা validate เฆ•เฆฐে allow เฆ•เฆฐুเฆจ
  • rel="noopener noreferrer" เฆฌ্เฆฏเฆฌเฆนাเฆฐ เฆ•เฆฐুเฆจ

๐Ÿ“š Practice Task for You

  1. 1เฆŸি vulnerable site เฆฌা login redirect URL เฆ–ুঁเฆœে เฆฌেเฆฐ เฆ•เฆฐুเฆจ (educational only)
  2. Malicious redirect URL เฆฆিเงŸে เฆŸেเฆธ্เฆŸ เฆ•เฆฐুเฆจ
  3. Browser-เฆเฆฐ Dev Tools เฆฆিเงŸে HTTP Request observe เฆ•เฆฐুเฆจ
  4. Report/write ethical proof of concept

๐Ÿ’ก Bonus Tips:

  • ✅ Redirect payload encode เฆ•เฆฐে เฆฌ্เฆฏเฆฌเฆนাเฆฐ เฆ•เฆฐเฆฒে bypass เฆธเฆซเฆฒ เฆนเงŸ เฆ…เฆจেเฆ• เฆธเฆฎเงŸ
  • ✅ Redirection chain เฆฌা frame redirection เฆฆিเงŸেเฆ“ เฆเฆŸা exploit เฆ•เฆฐা เฆฏাเงŸ

⚠️ Warning: เฆเฆ‡ เฆฒেเฆญেเฆฒเฆŸি เฆถুเฆงুเฆฎাเฆค্เฆฐ เฆถিเฆ•্เฆทা เฆเฆฌং เฆธเฆšেเฆคเฆจเฆคাเฆฐ เฆœเฆจ্เฆฏ। เฆ†เฆชเฆจি เฆ•เฆ–เฆจোเฆ‡ เฆเฆŸি เฆ…เฆชเฆฐেเฆฐ เฆ•্เฆทเฆคিเฆฐ เฆœเฆจ্เฆฏ เฆฌ্เฆฏเฆฌเฆนাเฆฐ เฆ•เฆฐเฆฌেเฆจ เฆจা।

✍️ Written by: A1 Hacker of Bangladesh

๐Ÿ”— Visit Blog: A1 Hacker of Bangladesh