Il reindirizzamento aperto è un difetto di sicurezza in un'app o in una pagina Web che impedisce di autenticare correttamente gli URL.
Quando le app e le pagine Web hanno richieste di URL, dovrebbero verificare che tali URL facciano parte del dominio della pagina prevista. Il reindirizzamento aperto è un errore in quel processo che consente agli aggressori di indirizzare gli utenti verso siti Web dannosi di terze parti. I siti o le app che non riescono ad autenticare gli URL possono diventare un vettore per reindirizzamenti dannosi a siti falsi convincenti per il furto di identità o siti che installano malware.
Normalmente, il reindirizzamento è una tecnica per spostare gli utenti su una pagina web diversa dall'URL che hanno richiesto. I webmaster utilizzano il reindirizzamento per validi motivi, ad esempio per gestire risorse che non sono più disponibili o che sono state spostate in una posizione diversa. Gli utenti Web spesso incontrano il reindirizzamento quando visitano il sito Web di una società il cui nome è stato cambiato o che è stato acquisito da un'altra società.
La vulnerabilità Heartbleed, originariamente segnalata per essere abilitata da reindirizzamenti nascosti, è stata alla fine scoperta come il risultato dell'abilitazione meno grave, ma comunque irresponsabile, del reindirizzamento aperto.