URL跳转漏洞修复方案

URL跳转漏洞修复方案

0x01. 漏洞名称

编码安全 - URL任意跳转(Arbitrarily URL Redirect)

0x02. 漏洞原理

URL任意跳转漏洞 是指 研发在实现URL跳转业务逻辑时，因为待跳转URL本身是用户提供，或者URL中的一级域名部分有用户输入，从而导致一级域名可以被用户控制，指向不安全站点(色情网站、博彩网站等)，从而导致钓鱼，敏感信息泄露等业务危害

0x03. 可能存在漏洞的业务场景

一般说, 待跳转URL本身是用户提供，或者URL中的一级域名部分有用户输入

比如: 登录成功/失败跳转接口，第三方网站接入业务，用户输入作为参数/域名存储的业务场景

0x04. 通用解决方案

 

Step1 编写域名白名单类

 

 

Step2 对访问的URL进行白名单校验