2.5　总结

开放式重定向漏洞允许恶意攻击者将用户在不知不觉中重定向到一个恶意的网站。找出这些漏洞，正如你在上面漏洞报告示例中所学到的一样，通常需要敏锐的观察力。当具有如例子中提到的形如redirect_to=、domain_name=或者checkout_url=的名字时，重定向参数是容易发现的。另外，重定向参数也可能具有不是那么明显的名字，例如r=、u=等。

开放式重定向漏洞依赖于信任滥用，即目标对象往往被欺骗，去访问攻击者的网站，而他们还认为自己正在访问的是所认识的网站。当你识别出可能存在漏洞的参数时，一定要全面测试一下，并在URL的某部分是硬编码的情况下增加一些特殊字符，例如句点，构造新的URL来进行测试验证。

HackerOne中间网页重定向漏洞显示了在进行漏洞挖掘时识别网站使用的工具和服务的重要性。要注意你有时需要坚持不懈，并清晰地描述你发现的漏洞，以说服企业接受你的观点并支付奖金。