程式碼安全測試第二期:URL重定向(跳轉)漏洞
URL重定向:
URL重定向(URLredirection)漏洞,又稱跳轉漏洞,指的是網路應用程式接受使用者可控的輸入作為到外部站點的連結,然後在重定向中使用該連結。該 安全漏洞給網路釣魚攻擊提供了極大的便利。
漏洞的構成條件:
1、URL從使用者可控制的輸入中提取;
2、該URL未經驗證,就被用於網路應用程式的重定向地址。
URL重定向的常見後果:
關鍵詞:繞過保護機制;獲取許可權或假冒身份
使用者的訪問可能會被重定向到不可靠的網頁。不可靠網頁中可能存在惡意軟體並可能攻陷使用者電腦。一旦使用者電腦被攻陷,使用者就暴露在大量各種網路危機中。而且使用者和網路伺服器的互動也可能被攻陷,導致個人身份,密碼等關鍵敏感資訊的洩漏。
URL重定向的一些防範和修補建議
1、從實現角度,進行輸入驗證:對輸入的資訊進行驗證。比如說使用已知的有效輸入驗證機制,或是制定嚴格的說明來規範輸入的資訊等等。對於不符合規範的輸入,或者是拒絕接受,或者對輸入進行轉換淨化,讓它符合規範要求。
2、從體系架構和設計上防範該 安全漏洞,並儘量減少暴露的攻擊面。
URL重定向的樣例:
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2772920/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 程式碼安全測試第十二期:LDAP注入漏洞LDA
- Python開發Brup外掛檢測SSRF漏洞和URL跳轉Python
- 程式碼安全測試第十五期:跨站指令碼漏洞指令碼
- 程式碼安全測試第六期:XPath注入漏洞
- 程式碼安全測試第七期:不安全的反射漏洞缺陷反射
- 程式碼安全測試第五期:OS命令注入漏洞
- 程式碼安全測試第十八期:呼叫System.exit()存在安全漏洞
- 程式碼安全測試第十期:日誌偽造漏洞
- 程式碼安全測試第十一期:記憶體洩漏漏洞記憶體
- 程式碼安全測試第二十四期:數字型別的不正確轉換漏洞型別
- 程式碼安全測試第十三期:敏感資訊的明文傳輸漏洞
- 程式碼安全測試第十六期:使用不安全的隨機值漏洞隨機
- 請求轉發與URL重定向
- 網站安全測試之APP滲透測試漏洞網站APP
- 網址連結跳轉外部安全提醒程式碼
- 程式碼安全測試第一期:什麼是SQL隱碼攻擊漏洞?SQL
- 程式碼安全測試第二十期:資源未關閉/釋放漏洞
- 程式碼安全測試第二十二期:HTTP響應拆分漏洞HTTP
- 程式碼安全測試第四期:可逆的單向雜湊漏洞
- 網站滲透測試安全檢測漏洞網站
- SAP ABAP程式碼中開啟瀏覽器跳轉訪問URL瀏覽器
- 程式碼安全 兩種程式碼漏洞
- 程式碼安全測試第二十八期:未使用的變數缺陷漏洞變數
- web應用安全測試之業務漏洞Web
- 程式碼安全測試第三期:路徑遍歷漏洞的防範與檢測
- 程式碼安全測試第九期:Switch中省略了break語句導致的程式碼缺陷漏洞
- 實現登入url跳轉
- 程式碼安全測試第十九期:用不安全的授權建立臨時檔案漏洞
- 網站漏洞測試php程式碼修復詳情網站PHP
- 網站滲透測試漏洞分析程式碼架構網站架構
- 程式碼安全測試第二十一期:從finally塊中return漏洞
- 程式碼安全測試第二十九期:通用異常捕獲宣告缺陷漏洞
- 軟體測試與程式碼安全詳解
- 測試開發必備技能:安全測試漏洞靶場實戰
- 滲透測試之CSRF程式碼漏洞的檢測與加固方案
- react跳轉url,跳轉外鏈,新頁面開啟頁面React
- JavaScript頁面跳轉程式碼JavaScript
- Haproxy 重定向跳轉設定 - 運維小結運維