Vulnerabilidade Open Redirect: Explicada e Corrigida (2026)

Um open redirect parece inofensivo — sua app só manda o usuário para algum lugar após o login. Mas se esse "algum lugar" vem de um parâmetro que você não valida, um atacante usa seu domínio confiável como trampolim para a página de phishing dele.

Como funciona

    https://site-confiavel.com/login?next=https://evil.example.com
# Após o login, a vítima aterrissa em evil.example.com

A isca é que o link começa num domínio que a vítima confia. Ela clica, você redireciona, e está num login falso idêntico. Open redirects também são encadeados para roubo de tokens OAuth quando o redirect URI não é validado estritamente.

Como corrigir

Não redirecione para input cru do usuário.
Só rotas relativas. Aceite /dashboard, rejeite qualquer coisa com scheme ou host.
Allow-list de destinos externos.
Valide redirect URIs de OAuth com match exato (sem wildcards).
Cuidado com truques (//evil.com, encoded): valide o resultado parseado, não o string cru.

    const next = url.searchParams.get('next') || '/'
const safe = next.startsWith('/') && !next.startsWith('//') ? next : '/'

O Nurbak escaneia sua app por open redirects e o resto do checklist de segurança de APIs.

Vulnerabilidade Open Redirect: O Que É e Como Corrigir

Como funciona

Como corrigir

Artigos relacionados

Fabian Delgado

Pronto para experimentar?

Como funciona

Como corrigir

Artigos relacionados

Fabian Delgado

Pronto para experimentar?

Leia a Seguir

SSRF (Server-Side Request Forgery): O Que É e Como Prevenir

Vulnerabilidade IDOR: O Que É e Como Prevenir

Broken Access Control: O Risco #1 do OWASP, Explicado