15 常见漏洞 URL重定向

跳转页面由url的get请求参数决定

然而服务器没有对请求的url参数内容进行判断

就无脑的跳转过去

从而导致了这个漏洞

 

该漏洞的利用主要是用于钓鱼网站

安全意识较差的用户看url前面是一个正经网站可能就不看请求的参数就直接点击进去了

假设，假设啊，某讯有个这样的链接

www.qq.com?a=xxdxxxxx&b=sdfsdfsadfsda&c=sdfsadfwef&d=sdfwsdfsdf&url=http://hacker.com

一般人看到主站点是某讯的可能下意识的就相信这个站点了

也不会废老劲去看请求参数

并且若是在手机上

压根就看不到完整的url

手机上url是隐藏的

 

url重定向防御

referer限制

加入token

token是一次性且用户不可控的