<div><div dir="auto">Hi Michael,</div><div dir="auto"><br></div><div dir="auto">Thank you for your info. </div><div dir="auto"><br></div><div dir="auto">I know the scenario you given and completely agree with you.</div><div dir="auto">He is changing the whole location parameter to external domain and it is going directly to that domain with Referer parameter contains our application URL . According to me and some of my friends this should not happen(may be severity of this vulnerability is low or medium according to situations).</div><div dir="auto"><br></div><div dir="auto">Please correct me if I am wrong.</div><div dir="auto"><br></div><div dir="auto"><br></div><div dir="auto">Thanks</div><div dir="auto">Ankush</div><br><div class="gmail_quote"><div>On Thu, 4 Jan 2018 at 2:30 AM, Michael V. Scovetta <<a href="mailto:michael.scovetta@gmail.com">michael.scovetta@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div>Hi Ankush,<div>  How did your colleague replace the location parameter? Usually, this is vulnerable if there's something like <a href="https://blah.com?redirect=https://evil.com" target="_blank">https://blah.com?redirect=https://evil.com</a> and then the server takes the <a href="https://evil.com" target="_blank">https://evil.com</a> and sticks it into the location parameter. The attack is that I just send you an email with a link to <a href="https://your-trusted-bank.com?gobblygook" target="_blank">https://your-trusted-bank.com?gobblygook</a>, which of course you trust because it's your bank website, and then you get prompted for creds at <a href="https://y0ur-trusted-bank.com" target="_blank">https://y0ur-trusted-bank.com</a> which you don't notice is different, because phishing... etc.</div><div><br></div><div>Mike</div></div><div class="gmail_extra"><br><div class="gmail_quote"></div></div><div class="gmail_extra"><div class="gmail_quote">On Wed, Jan 3, 2018 at 9:22 AM, Ankush Mohanty <span><<a href="mailto:ankush.mohanty@owasp.org" target="_blank">ankush.mohanty@owasp.org</a>></span> wrote:<br></div></div><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto">Dear leaders,</div><div dir="auto"><br></div><div dir="auto">One of my colleague got an issue on a <b>302 found</b> response. He just replaced the <i><u>Location</u> </i>parameter with an external  domain(<a href="http://www.google.com" target="_blank">www.google.com</a>) and redirected to the external domain without hesitation. According to OWASP Top 10 2012 A10 (Am I vulnerable... point no 2) it should be a vulnerability.</div><div dir="auto"><br></div><div dir="auto"><br></div><div dir="auto">Attaching the screenshot of the 302 response. Please let me know wheather I am correct or not.</div><div dir="auto"><div></div><div><img src="cid:160bd0ba7bbf53ad81f2" style="width:568px;max-width:100%"></div><br></div><div dir="auto"><br></div><div dir="auto">Thanks & Regards</div><span class="m_-1096373892711977068HOEnZb"><font color="#888888"><div dir="auto">Ankush Mohanty</div><div>-- <br></div><div class="m_-1096373892711977068m_-6367611224346086566gmail_signature" data-smartmail="gmail_signature">Thanks and Regards<br>Ankush Mohanty<br>Cuttack Chapter Lead</div>
</font></span><br></blockquote></div></div><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" rel="noreferrer" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div></div><div class="gmail_extra"><br><br clear="all"><div><br></div>-- <br><div class="m_-1096373892711977068gmail_signature" data-smartmail="gmail_signature">-[ Michael Scovetta ]-</div>
</div></blockquote></div></div><div dir="ltr">-- <br></div><div class="gmail_signature" data-smartmail="gmail_signature">Thanks and Regards<br>Ankush Mohanty<br>Cuttack Chapter Lead</div>