1. ReturnUrl

    Článek: AN0002401Aktualizováno:: 18.03.2020

    Systém ObjectGears na několika místech přebírá z URL proměnnou ReturnUrl, která obsahuje URL, na kterou se má dále navigovat. Protože je hodnota součástí URL, je možné ji poměrně snadno změnit a podhodit tak uživateli nebezpečnou adresu, díky které se může dostat mimo systém ObjectGears.

    Při výskytu podvodné url by se uživatel dostal na web útočníka, který by byl nastaven tak, aby vypadal jako vaše aplikace v systému ObjectGears. Následně by z uživatele mohly být vylákány citlivé informace.

    Aby se této situaci předešlo, kontroluje systém ObjectGears všechny hodnoty z proměnné ReturnUrl používané v URL. Pokud je v ní zjištěn odkaz vedoucí mimo systém, pak přesměrování není provedeno a výskyt této události je zalogován do Protokolu událostí jako Bezpečnostní incident.

    Pokud existují legitimní důvody přesměrování uživatele mimo instanci ObjectGears (např. přepnutí do jiné aplikace nebo odkaz do dokumentace, na síťový disk s dokumenty apod.), je možné přesměrování definovat na daných místech v ObjectGears - např.:

    • URLv položce menu
    • www odkaz na tlačítku třídy/dotazu
    • URL ve skriptech
×