Redirecionamento aberto é uma falha de segurança em uma aplicação ou página web que faz com que ela falhe em autenticar corretamente URLs.
Quando aplicações e páginas web têm pedidos de URLs, eles devem verificar se essas URLs são parte do domínio da página pretendida. O redirecionamento aberto é uma falha nesse processo que torna possível que os atacantes encaminhem os usuários para sites maliciosos de terceiros. Sites ou aplicativos que falham em autenticar URLs podem se tornar um vetor de redirecionamento malicioso para convencer sites falsos para roubo de identidade ou sites que instalam malware.
Normalmente, o redirecionamento é uma técnica para deslocar usuários para uma página da Web diferente da URL que eles solicitaram. Os webmasters usam o redirecionamento por razões válidas, como lidar com recursos que não estão mais disponíveis ou que foram movidos para um local diferente. Usuários da Web frequentemente encontram o redirecionamento quando visitam o site de uma empresa cujo nome foi alterado ou que foi adquirido por outra empresa.
A vulnerabilidade Heartbleed, originalmente reportada como sendo ativada por redirecionamentos encobertos, foi eventualmente descoberta como sendo o resultado da ativação menos séria -- mas ainda irresponsável -- do redirecionamento aberto.