Sicherheit
SicherheitMittel

Open Redirects

Prüft URL-Parameter die auf beliebige externe Domains redirecten — Phishing-Helfer.

Was dieser Check misst

Wir probieren gängige Redirect-Parameter (`?redirect=`, `?url=`, `?next=`) mit externer Domain. Wenn die Site ohne Validation zu unserer externen URL 302'd, ist es ein Open Redirect.

Warum es wichtig ist

Open Redirects sind Phishings Liebling: Angreifer bauen URLs wie `deineseite.com/login?redirect=https://boese.com`. Nutzer vertrauen der Domain, klicken und landen bei einem Clone. Umgeht auch Email-Link-Filter.

search

Wie unser Audit es erkennt

POST und GET auf gängige Redirect-Endpoints mit externer URL. Response auf Redirect zur externen prüfen.

Typische Findings

  • error_outline/login?redirect=https://evil.com — ungeprüft.
  • error_outline/sso?returnUrl=... akzeptiert alles.
  • error_outlineLogout-Endpoint redirected zu jeder Client-URL.

So behebst du es

Redirect-URLs gegen Allowlist bekannter Paths oder Same-Origin-Hosts validieren. Absolute externe URLs ablehnen. Falls Cross-Domain nötig: statische Allowlist.

Häufige Fragen

Wirklich exploitable?expand_more
Ja — Microsoft, Google, Banken hatten alle Open-Redirect-CVEs. Bug-Bounty-Programme zahlen dafür. Einfach zu fixen, real impactvoll.

Soll das auf deiner Site geprüft werden?

Pantra läuft den vollen Audit (SEO, Sicherheit, GEO, Performance, Schema, Technik, Bilder) in 10 Sekunden und generiert stack-spezifische Fix-Prompts.

Site scannen

Ähnliche Checks

Sicherheit

HTTPS aktiv

Prüft ob die Site über HTTPS ausliefert und HTTP auf HTTPS redirected.

Sicherheit

TLS-Version

Prüft dass der Server TLS 1.2 oder höher nutzt — ältere Versionen sind kaputt.

Sicherheit

Mixed Content

Prüft HTTP-Ressourcen auf HTTPS-Seiten — Browser blockieren oder warnen.

Sicherheit

SSL-Zertifikat

Prüft dass das SSL-Zertifikat gültig, nicht abgelaufen und nicht bald ablaufend ist.

Mehr im Glossar erfahrenarrow_forward