前言
下午收到公司一条漏洞工单标题是:www.xxx.com存在URL任意跳转漏洞
你有一个漏洞工单【XXXX】需要确认,请点击下方链接确认漏洞。若不认为漏洞归属自己可驳回或转派。
规定修复时间为: 2021-04-01 16:27:16
漏洞标题: www.xxx.com存在URL任意跳转漏洞 风险描述: 应用程序未限制可跳转的URL格式和范围,导致存在未验证的任意URL跳转漏洞。利用此漏洞,攻击者可以>随意定义将跳转的URL,这可能导致挂马攻击、钓鱼攻击等等,危害很大。
漏洞级别: 低危
定睛一看问题出现在我负责的项目的用户登录授权接口上。 链接参数中含有returnUrl(登入成功后返回的页面)。其中未做域名限定处理导致。
emmm~因为代码在后端,立马对接给相应后端开发去处理啦~
内心OS(WTF? URL任意跳转漏洞是什么?!!怎么预防处理?赶紧学习普及一下!)