程式碼安全測試第二期:URL重定向(跳轉)漏洞

zktq2021發表於2021-05-19

URL重定向:

URL重定向(URLredirection)漏洞,又稱跳轉漏洞,指的是網路應用程式接受使用者可控的輸入作為到外部站點的連結,然後在重定向中使用該連結。該 安全漏洞給網路釣魚攻擊提供了極大的便利。

漏洞的構成條件:

1、URL從使用者可控制的輸入中提取;

2、該URL未經驗證,就被用於網路應用程式的重定向地址。

URL重定向的常見後果:

關鍵詞:繞過保護機制;獲取許可權或假冒身份

使用者的訪問可能會被重定向到不可靠的網頁。不可靠網頁中可能存在惡意軟體並可能攻陷使用者電腦。一旦使用者電腦被攻陷,使用者就暴露在大量各種網路危機中。而且使用者和網路伺服器的互動也可能被攻陷,導致個人身份,密碼等關鍵敏感資訊的洩漏。

URL重定向的一些防範和修補建議

1、從實現角度,進行輸入驗證:對輸入的資訊進行驗證。比如說使用已知的有效輸入驗證機制,或是制定嚴格的說明來規範輸入的資訊等等。對於不符合規範的輸入,或者是拒絕接受,或者對輸入進行轉換淨化,讓它符合規範要求。

2、從體系架構和設計上防範該 安全漏洞,並儘量減少暴露的攻擊面。

URL重定向的樣例:

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2772920/,如需轉載,請註明出處,否則將追究法律責任。

相關文章