常见WEB攻击之URL跳转漏洞
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了常见WEB攻击之URL跳转漏洞相关的知识,希望对你有一定的参考价值。
参考技术A URL 跳转漏洞是指后台服务器在告知浏览器跳转时,未对客户端传入的重定向地址进行合法性校验,导致用户浏览器跳转到钓鱼页面的一种漏洞。黑客构造恶意链接给普通用户,普通用户点击链接访问看似安全的web服务器,最终跳转访问黑客恶意网站。
中奖率,或者给XXX投票
如 http://qt.qq.com/safecheck.html?flag=1&url=http://jtvx518.cc
将恶意网站与正规网站混合在一起。
实现URL的跳转:
Header头跳转
javascript跳转
META标签跳转
根据上面的场景分析,我们知道,之所以会出现跳转 URL 漏洞,就是因为服务端没有对客户端传递的跳转地址进行合法性校验,所以,预防这种攻
击的方式,就是对客户端传递过来的跳转 URL 进行校验。
常用的方式:
服务端配置跳转白名单或域名白名单,只对合法的 URL 做跳转
以上是关于常见WEB攻击之URL跳转漏洞的主要内容,如果未能解决你的问题,请参考以下文章