web基础漏洞-地址类漏洞

1、介绍

地址类漏洞指的是,可以由攻击者控制的地址类参数

  • 导致页面重定向到攻击者控制网站,进行钓鱼
  • 或者将敏感数据发送给攻击者
  • 加载攻击者指定的资源,比如脚本、iframe,替换下载资源,替换图片进行钓鱼,尤其是联系方式或支付信息

重定向漏洞属于地址类漏洞的一种场景。

2、输入

(1)直接输入,反射返回

参数在url的直接参数或路径参数中,进行请求

或者参数在请求体部中,表单形式

(2)输入提交,存储返回

(3)不提交,截取hash

(4)多次传递

3、输出

(1)输出在location字段

(2)输出在set-cookie字段,进行客户端存储

(3)输出在form元素、script元素等的地址属性中

(4)输出在ajax的地址属性中

4、防护

严格检查地址类参数是否超出允许范围

 

posted @ 2023-05-29 17:01  挖洞404  阅读(15)  评论(0编辑  收藏  举报