私のコース講師の講義から引用:
典型的なWeb攻撃の段階は次のとおりです。被害者は、侵害された正当なWebサイトにアクセスします。侵害されたWebサイトは、攻撃者によって制御される悪意のあるコードを実行している別のサイトに被害者をリダイレクトします。リダイレクトは、最初にさまざまな中間サーバーを通過する場合があります。
私も同じ問題に直面しました。トレントサイトにアクセスして、誤ってまたは意図的に一部のリンクをクリックすると、さまざまな中間サイトから別のサイトに移動します。なぜ最後のサイトに直接行くのではなく、数秒で多くのサイトを通過するのですか?攻撃者にとってのメリットは何ですか?
ここには実際には2つのケースがあります。
この場合、攻撃者はサイト自体を危険にさらすことはありませんが、ターゲット広告を悪用して、特定の機能(ブラウザー、OS、地理位置情報など)に基づいて被害者を選択し、攻撃します。ターゲットを絞った広告配信の仕組みにより、さまざまなサイト間で多くのリダイレクトが使用されます。つまり、リダイレクトの大部分はマルウェアの配信ではなく、通常の広告配信プロセスの一部です。詳細については、例 リアルタイム広告配信の仕組み を参照してください。以下の2番目のケースで説明したのと同じ理由で、最終段階でマルウェア固有のリダイレクトがいくつか発生する場合があります。
この場合、訪問したサイトは攻撃者によって侵害されています。攻撃者は通常、次の理由により、侵害されたサイトに最小限のリダイレクトのみを行います。
攻撃者が検出を回避するために使用する一般的な手法は、一連のWebリダイレクトを使用して、マルウェアのダウンロード元からソースを難読化することです。攻撃者は正当な「302 Found」応答を使用して一連のWebリダイレクトを作成してから、被害者のブラウザーが被害者のマシンにエクスプロイトを配信するページに最終的にリダイレクトされます。これらの中間Webサイトは、ゲートとも呼ばれます。これらのゲートのURLは、30分ごとなどに頻繁に変更され、意味のある攻撃分析を行うのに十分な情報を収集する時間をセキュリティ研究者から奪います。ゲートを使用すると、レイヤーが追加され、マルウェアのソースを特定することが困難になります。また、HTTP 302リダイレクトを使用すると、非表示のiFrameまたは外部スクリプトと比較して疑いが生じる可能性が低いため、iFrameまたは外部スクリプトの必要性がなくなります。
攻撃者の主な目標は、iFrameとHTTP 302のどちらの緩衝機能を使用する場合でも、被害者のWebブラウザが攻撃者のWebページに到達し、被害者に悪意のあるエクスプロイトを仕掛けることです。
戻るボタンを使用できないようになっていると思います。戻るをクリックすると、1つのサイトに戻り、すぐに転送先にリダイレクトされます。