- क्या आप किसी **साइबर सुरक्षा कंपनी** में काम करते हैं? क्या आप अपनी **कंपनी को HackTricks में विज्ञापित** देखना चाहते हैं? या क्या आपको **PEASS के नवीनतम संस्करण या HackTricks को PDF में डाउनलोड करने का उपयोग** करने की इच्छा है? [**सदस्यता योजनाएं**](https://github.com/sponsors/carlospolop) की जांच करें!
- **शामिल हों** [**💬**](https://emojipedia.org/speech-balloon/) [**Discord समूह**](https://discord.gg/hRep4RUj7f) या [**टेलीग्राम समूह**](https://t.me/peass) में या मुझे **Twitter** पर **फ़ॉलो** करें [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
- **अपने हैकिंग ट्रिक्स को [hacktricks रेपो](https://github.com/carlospolop/hacktricks) और [hacktricks-cloud रेपो](https://github.com/carlospolop/hacktricks-cloud) में पीआर जमा करके साझा करें।**
An open redirect vulnerability occurs when a web application allows users to redirect to external URLs without proper validation. This can be exploited by an attacker to redirect users to malicious websites.
## Exploiting Open Redirect with SVG Files
In some cases, web applications allow users to upload SVG (Scalable Vector Graphics) files. These files can contain JavaScript code that can be executed when the SVG file is rendered by the browser.
To exploit an open redirect vulnerability with SVG files, an attacker can upload a malicious SVG file that contains JavaScript code to redirect the user to a specified URL. The SVG file can be crafted to include the redirect code within its XML structure.
When the user accesses the uploaded SVG file, the JavaScript code will execute and redirect the user to the specified URL. This can be used to trick users into visiting malicious websites or phishing pages.
In web applications, there are certain parameters that are commonly targeted for injection attacks. These parameters can be manipulated by an attacker to execute malicious code or perform unauthorized actions. Here are some of the most common injection parameters:
## URL Parameters
URL parameters are the values that are appended to the end of a URL after a question mark (?). These parameters are often used to pass data between web pages. Attackers can exploit URL parameters by injecting malicious code into them.
## Form Parameters
Form parameters are the values submitted through HTML forms. These parameters are used to send data from the client-side to the server-side. Attackers can manipulate form parameters to inject malicious code and compromise the application.
## Cookie Parameters
Cookies are small pieces of data stored on the client-side. They are used to store information about the user's session. Attackers can tamper with cookie parameters to gain unauthorized access or perform session hijacking.
HTTP headers contain additional information about the request or response. Attackers can manipulate header parameters to inject malicious code or perform other unauthorized actions.
## Database Query Parameters
Database query parameters are used to construct SQL queries. Attackers can exploit these parameters by injecting malicious SQL code, leading to SQL injection attacks.
## Command Line Parameters
Command line parameters are used to pass arguments to command-line programs. Attackers can manipulate these parameters to execute arbitrary commands on the server.
It is important for developers to properly validate and sanitize these parameters to prevent injection attacks.
Java एक उच्च स्तरीय, विश्वसनीय, और सुरक्षित प्रोग्रामिंग भाषा है जो विभिन्न प्लेटफ़ॉर्मों पर चलने वाले एप्लिकेशन विकसित करने के लिए उपयोग की जाती है। यह एक ऑब्जेक्ट-ओरिएंटेड भाषा है जिसमें एकल थ्रेड और बहु-थ्रेड एप्लिकेशन विकसित किए जा सकते हैं। जावा को सुरक्षित बनाने के लिए, इसमें सुरक्षा चेकिंग और संरक्षण के लिए विभिन्न तरीकों का उपयोग किया जाता है। यह एक व्यापक लाइब्रेरी और टूलसेट के साथ आता है जो विभिन्न कार्यों को सुगम बनाता है, जैसे कि नेटवर्किंग, डेटाबेस कनेक्शन, ग्राफिक्स, आदि।
जावा को इंटरनेट और वेब विकास के लिए भी उपयोग किया जा सकता है। जावा सर्वर-साइड और क्लाइंट-साइड वेब एप्लिकेशन विकसित करने के लिए उपयोग की जाती है। जावा में वेब विकास के लिए विभिन्न फ्रेमवर्क उपलब्ध हैं, जैसे कि स्प्रिंग, स्ट्रटस, और जीएसएफ़। यह फ्रेमवर्क वेब एप्लिकेशन विकसित करने को आसान बनाते हैं और अनुकूलित तरीके से डेटा को प्रबंधित करने की सुविधा प्रदान करते हैं।
जावा में वेब विकास के दौरान एक आम सुरक्षा समस्या हो सकती है जिसे ओपन रीडायरेक्ट कहा जाता है। यह एक ऐसी स्थिति होती है जब एक वेब एप्लिकेशन उपयोगकर्ता को एक वेब पेज से दूसरे पेज पर रीडायरेक्ट करती है, लेकिन उपयोगकर्ता को यह पता नहीं होता है कि वे किस पेज पर रीडायरेक्ट हुए हैं। इसका उपयोग अधिकांश वेब एप्लिकेशन में उपयोगकर्ता को अनुचित वेबसाइट पर भेजने के लिए किया जाता है, जिससे फ़िशिंग, फ़ीशिंग, या अन्य आपत्तिजनक कार्रवाई की जा सकती है।
ओपन रीडायरेक्ट को उपयोग करके हैकर्स उपयोगकर्ताओं को धोखा देकर वेबसाइट पर नियंत्रण प्राप्त कर सकते हैं। इसके लिए, हैकर्स एक ओपन रीडायरेक्ट लिंक बनाते हैं जिसे उपयोगकर्ता को क्लिक करने के लिए प्रेरित किया जाता है। जब उपयोगकर्ता लिंक पर क्लिक करता है, वेब एप्लिकेशन उपयोगकर्ता को दूसरे पेज पर रीडायरेक्ट करती है, जहां हैकर्स उपयोगकर्ता को धोखा देकर अपने उद्देश्यों को पूरा कर सकते हैं।
ओपन रीडायरेक्ट से बचने के लिए, वेब विकासकों को उपयोगकर्ता को रीडायरेक्ट करने से पहले उपयोगकर्ता को पुष्टि करने के लिए उपयोगकर्ता के द्वारा दिए गए URL को सत्यापित करना चाहिए। इसके लिए, वेब विकासकों को उपयोगकर्ता के द्वारा दिए गए URL को वैध URL या अनुमानित URL के साथ तुलना करनी चाहिए। यदि URL वैध नहीं है, तो रीडायरेक्ट को रोक देना चाहिए। इसके अलावा, वेब विकासकों को अपने वेब एप्लिकेशन में ओपन रीडायरेक्ट के लिए उपयोग होने वाले पैरामीटरों को सत्यापित करना चाहिए और केवल वैध पैरामीटरों को स्वीकार करना चाहिए।
ओपन रीडायरेक्ट एक सुरक्षा समस्या है जो वेब अनुप्रयोगों में पायी जाती है और जिसमें एक अवैध उपयोगकर्ता यूआरएल के माध्यम से उपयोगकर्ता को अनुपयोगी या खतरनाक साइट पर रीडायरेक्ट किया जाता है। यह आमतौर पर वेब अनुप्रयोगों में उपयोग होने वाले यूआरएल पैरामीटर्स के अवशेषों का उपयोग करके किया जाता है।
ओपन रीडायरेक्ट के द्वारा हमला करने के लिए, हैकर एक वेब अनुप्रयोग में एक अवैध यूआरएल पैरामीटर का उपयोग करता है जो उपयोगकर्ता को अनुपयोगी या खतरनाक साइट पर रीडायरेक्ट करता है। जब उपयोगकर्ता इस अवैध यूआरएल पर क्लिक करता है, वेब अनुप्रयोग उपयोगकर्ता को उस यूआरएल पर रीडायरेक्ट करता है जिसे हैकर ने निर्दिष्ट किया है। इस प्रकार, हैकर उपयोगकर्ता को फ़िशिंग, फ़ीशिंग, मैलवेयर डाउनलोड, यूज़र क्रेडेंशियल्स की चोरी आदि जैसे हमलों का शिकार बना सकता है।
ओपन रीडायरेक्ट को अनुशासित करने के लिए, वेब अनुप्रयोगों में यूआरएल पैरामीटर्स की सत्यापना करनी चाहिए और केवल वैध यूआरएल पर ही रीडायरेक्ट करना चाहिए। यूआरएल पैरामीटर्स की सत्यापना करने के लिए, वेब अनुप्रयोगों में यूआरएल पैरामीटर्स को सत्यापित करने के लिए वैधता नियमों का उपयोग करना चाहिए। इसके अलावा, वेब अनुप्रयोगों को यूआरएल पैरामीटर्स को अवैध यूआरएल से अलग रखने के लिए यूआरएल एनकोडिंग का उपयोग करना चाहिए।
[https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Open Redirect](https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Open%20Redirect) में आप फज़िलत सूचियाँ पा सकते हैं।\
- क्या आप **साइबर सुरक्षा कंपनी** में काम करते हैं? क्या आप अपनी कंपनी को **HackTricks में विज्ञापित** देखना चाहते हैं? या क्या आपको **PEASS के नवीनतम संस्करण या HackTricks को PDF में डाउनलोड करने का उपयोग** करने की इच्छा है? [**सदस्यता योजनाएं**](https://github.com/sponsors/carlospolop) की जांच करें!