程式碼安全測試第二期：URL重定向（跳轉）漏洞

URL重定向：

URL重定向(URLredirection)漏洞，又稱跳轉漏洞，指的是網路應用程式接受使用者可控的輸入作為到外部站點的連結，然後在重定向中使用該連結。該 安全漏洞給網路釣魚攻擊提供了極大的便利。

漏洞的構成條件：

1、URL從使用者可控制的輸入中提取;

2、該URL未經驗證，就被用於網路應用程式的重定向地址。

URL重定向的常見後果：

關鍵詞：繞過保護機制;獲取許可權或假冒身份

使用者的訪問可能會被重定向到不可靠的網頁。不可靠網頁中可能存在惡意軟體並可能攻陷使用者電腦。一旦使用者電腦被攻陷，使用者就暴露在大量各種網路危機中。而且使用者和網路伺服器的互動也可能被攻陷，導致個人身份，密碼等關鍵敏感資訊的洩漏。

URL重定向的一些防範和修補建議

1、從實現角度，進行輸入驗證：對輸入的資訊進行驗證。比如說使用已知的有效輸入驗證機制，或是制定嚴格的說明來規範輸入的資訊等等。對於不符合規範的輸入，或者是拒絕接受，或者對輸入進行轉換淨化，讓它符合規範要求。

2、從體系架構和設計上防範該 安全漏洞，並儘量減少暴露的攻擊面。

URL重定向的樣例：