web基础漏洞-地址类漏洞
1、介绍
地址类漏洞指的是,可以由攻击者控制的地址类参数
- 导致页面重定向到攻击者控制网站,进行钓鱼
- 或者将敏感数据发送给攻击者
- 加载攻击者指定的资源,比如脚本、iframe,替换下载资源,替换图片进行钓鱼,尤其是联系方式或支付信息
重定向漏洞属于地址类漏洞的一种场景。
2、输入
(1)直接输入,反射返回
参数在url的直接参数或路径参数中,进行请求
或者参数在请求体部中,表单形式
(2)输入提交,存储返回
(3)不提交,截取hash
(4)多次传递
3、输出
(1)输出在location字段
(2)输出在set-cookie字段,进行客户端存储
(3)输出在form元素、script元素等的地址属性中
(4)输出在ajax的地址属性中
4、防护
严格检查地址类参数是否超出允许范围
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】凌霞软件回馈社区,博客园 & 1Panel & Halo 联合会员上线
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】博客园社区专享云产品让利特惠,阿里云新客6.5折上折
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 微软正式发布.NET 10 Preview 1:开启下一代开发框架新篇章
· 没有源码,如何修改代码逻辑?
· PowerShell开发游戏 · 打蜜蜂
· 在鹅厂做java开发是什么体验
· WPF到Web的无缝过渡:英雄联盟客户端的OpenSilver迁移实战