pikachu 不安全的url重定向

 

1.不安全的url重定向(跳转)原理及演示

 

 

  场景演示

 

 

  随便测试一下

  点其他的:

 

 

  点第三个会进行跳转,跳转到概述页面。

 

 

  我们在url处试一下,传个对应的url进去,传过去后台会对它进行跳转。

  正常情况下应该是跳转到自己的页面(第三个那样的)

 

 

 

 

 

   跳转到了百度

 

  我们也可以传一个自己的恶意站点的url进去。

 

  查看一下后台代码

 

   通过GET请求获取前端传进来的url,判断一下,如果等于i,是这句话;不是,则跳转到url对应的地址去。这就存在着问题。

 

  如果处理这种问题,我们要进行重定向,需要对url进行白名单的限制,如果不是,就跳转到自己的页面或者固定的网站。

 

posted @ 2020-04-08 15:07  zhaihuijie  阅读(583)  评论(0编辑  收藏  举报