【漏洞学习——URL跳转】百度某站点URL跳转可钓鱼攻击

最新推荐文章于 2024-05-17 09:14:26 发布
最新推荐文章于 2024-05-17 09:14:26 发布
阅读量1.7k 收藏
点赞数
分类专栏: 【渗透测试实战】 # 乌云漏洞案例学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fly_hps/article/details/84654242
版权

漏洞细节

事情起因是今天下载论文的时候发现了百度学术的跳转,并且url可以任意 (重新整理了一下,下面这个网址有钓鱼站的网址),打开后,看标题,重点是看标题,不是什么跳转。

http://xueshu.baidu.com/s?wd=paperuri%3A%284a9cb4a895e665c048089b2b3a78e1cf%29&filter=sc_long_sign&tn=SE_xueshusource_2kduw22v&sc_vurl=http://www.icid-icloud.com/&ie=utf-8

http是可以更换的,不过不能访问到内网 

看标题,如果放一个百度学术的找回密码站点,直接就可以钓鱼了,怎么能说没影响呢

附两张图的对比

对定向内容审查

FLy_鹏程万里
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
js实现url跳转
08-24
js实现url跳转-http跳转至https,wap跳转至www
url参数加密_百度逆推link?url=xxx加密算法“反推技术秒收"
weixin_39933895的博客
12-11 4062
熟悉百度的站长都知道,凡是被百度搜索引擎收录的网站链接,都会生成一个以baidu开头的多参数跳转链接,而所谓「百度反推技术」的原理就是把百度生成的这个链接地址换成自己想要被收录的页面链接就可以了,然后再进行百度快照的投诉,就可以达到秒来蜘蛛,页面合格或域名权重可以的情况下,可以达到秒级收录从而达到百度秒收的效果。思路模型:伪造百度url后面的加密信息(https://www.baidu....
详细说明-url重定向漏洞-入门渗透笔记
最新发布
程序员六七的博客
05-17 325
1. 概念开放重定向(Open ),也叫 URL 跳转漏洞,是指服务端未对传入的 URL 变量进行检查和控制,导致诱导用户跳转到恶意网站,由于是从可信的站点跳转出去的
发布我的第一个Chrome扩展:移除百度搜索结果链接的跳转,去除恶心的/link?url=xxxxxxx.......
897371388
03-31 1164
看到百度搜索结果的恶心网址,总是不爽,于是花了点时间写了个Chrome扩展,自动修正这些链接。目前还没有写Firefox Extension,有空再说了。 主要作用:移除百度搜索结果链接的跳转,直接打开结果网址。 将类似这样的链接 http://www.baidu.com/link?url=l7MHGJqjJ4zBBpC8yDF8... 恢复为真实链接 http://www.163.com/...
Web安全-URL跳转钓鱼
道阻且长,行则将至。
01-07 7315
概述 URL跳转事件是比较常见的,比如,登陆网页以后,从登陆页面跳转到另一个页面,这就叫做URL跳转,但是URL跳转怎么和网络钓鱼联系在一起呢?下面将详细介绍URL跳转钓鱼URL跳转 URL跳转一般分为两种,一种为客户端跳转,另一种为服务器端跳转。两种跳转对于用于来说都是透明的,都是指向或跳转到另一个页面,页面发生了变化,但是对于开发者来说,其区别是很大的。 客户端跳转 服务器端跳转 服务...
打开百度跳转到另外一个网站、解决百度搜索引擎打开自己的网站却跳转到其他网站
热门推荐
seven9711的博客
12-16 1万+
为什么百度等搜索引擎打开自己的网站却跳转到其他网站?”,这种情况,不要责怪百度搜索引擎,而是网站自身的原因,网站被挂马了。清理掉木马文件即可解决,下面360 网站管家 分享解决为什么百度等搜索引擎打开自己的网站却跳转到其他网站的方法。 分享解决为什么百度等搜索引擎打开自己的网站却跳转到其他网站的方法 一、百度等搜索引擎打开自己的网站却跳转到其他网站原理 黑客给网站挂马主要的目的是为了,增加其他网站流量。为了不让SEOer发现网站被挂马,使得用户输入网址时可以正常访问网站,当用户通过搜索引擎(如百度)搜索打开
php 获取百度跳转页面,PHP CURL 获取301/302跳转地址 目标地址 最终地址 百度搜索跳转地址 link?url=...
weixin_33734087的博客
03-11 998
//curl百度百科$url = 'https://www.baidu.com/link?url=4HRF2YLJu-jFcyTPrt87vPEV_TsSZeByf_wJIewmdVAWaF930JjOFxTq_yaUQ7kC&wd=&eqid=f20825dc000113fd00000003555cbed5&ie=utf-8';$ch = curl_init();cur...
URL跳转漏洞基础.xmind
12-18
URL跳转挖掘绕过方式思维导图! URL跳转挖掘绕过方式思维导图! URL跳转挖掘绕过方式思维导图! URL跳转挖掘绕过方式思维导图! URL跳转挖掘绕过方式思维导图!
URL跳转奇葩姿势详解.pdf
08-07
URL跳转是一种未被重视但是极为有用的问题,被广泛利用在很多流量产业中,然而若单独出现一般评级只会在中-低的级别。JutaZ针对目前的URL跳转主流绕过方式进行了总结,还例举了些许案例. 目录 关于我 URL的标准格式 ...
AngularJS利用Controller完成URL跳转
10-21
在AngularJS中,URL跳转是一项基础且重要的功能,它允许用户在应用的不同视图间进行导航。在本文中,我们将深入探讨如何在AngularJS的Controller中实现这一操作。AngularJS是一个强大的前端JavaScript框架,它提供了...
nginx rewrite 实现URL跳转的方法
09-29
今天小编就为大家分享一篇nginx rewrite 实现URL跳转的方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
Django模板标签中url使用详解(url跳转到指定页面)
09-17
在Django框架中,`{% url %}`模板标签是用于生成URL的动态链接,它能够帮助我们避免硬编码URL路径,从而提高代码的可维护性和可扩展性。本文将深入讲解如何在Django模板中使用`{% url %}`标签来实现视图函数到指定...
参数创建Link链接,自动点击跳转
scimence的专栏
09-11 1244
示例:跳转百度 .../link.html?https://www.baidu.com <!DOCTYPE html> <html> <head> <meta charset="UTF-8"> <title>传参数Link跳转</title> </head> <script> ...
几种常用的页面跳转URL的方法
codepython的专栏
11-29 1万+
几种常用的页面跳转URL的方法 以下收集于网络,仅供参考! 1、这是最常见的ASP跳转  2、 javascript页面跳转 window.location = "***.asp"; 3、页面设置跳转 content=5 '(这个是时间的秒数,可以直接设置为0) 4、通过JS跳转 document.location.href = "http:
百度 Link?url= 跳转
weixin_34261739的博客
02-07 3282
http://www.baidu.com/s?wd=www.hao123.com 鼠标右键 标题 菜单属性 http://www.baidu.com/link?url=k7w4GJqjJ4zBBpC8yDF8xDh8vibi0VdeZTZUr9UONBu 这样链接就出现了。
安卓调用百度地图,与在安卓中通过url进行百度地图的跳转进行导航
qq_43691618的博客
07-05 1317
一、显示地图配置 1、创建并配置工程 http://lbsyun.baidu.com/index.php?title=androidsdk/guide/create-project/eclipse //eclipse配置 http://lbsyun.baidu.com/index.php?title=androidsdk/guide/create-project/androidstudio //A...
URL跳转漏洞(总结)
稳而思静 慢而有为
04-24 1万+
URL跳转漏洞描述 服务端未对传入的跳转url变量进行检查和控制,可导致恶意用户构造一个恶意地址,诱导用户跳转到恶意网站。 跳转漏洞一般用于钓鱼攻击,通过跳转到恶意网站欺骗用户输入用户名和密码来盗取用户信息,或欺骗用户进行金钱交易;还可以造成xss漏洞。 常见的可能产生漏洞的参数名redirect,redirect_to,redirect_urlurl,jump,jump_to,target,t...
URL重定向漏洞(中风险)
@小张小张的博客
10-10 7514
URL重定向漏洞(中风险) 风险级别: 中风险 风险描述: 攻击者可以将参数中URL值引入任意开发者的URL或者钓鱼网站; 风险分析: 部分HTTP参数会保留URL值,这会导致Web应用程序将请求重定向到指定的URL攻击者可以将URL改为恶意站点,从而启动钓鱼网站欺骗用户,窃取用户隐私; 钓鱼攻击: 模拟网站或者软件,几乎与官方的软件完全相同,连域名也十分相似。 网络钓鱼是互联网上流行已久且行之有效的黑客攻击机制之一。这种攻击,通过诱导用户去访问钓鱼网站,进而获取用户数据信息,或是用恶意软件感染用
855-在浏览器地址栏输入一个 URL 后回车,背后发生了什么?
LINZEYU666的博客
11-23 1105
在浏览器的地址栏输入一个 URL 后回车,背后到底发生了什么才能使得一个界面完美的展现在我们眼前? 在浏览中输入 URL 并且获取响应的过程,其实就是浏览器和该 URL 对应的服务器的网络通信过程。 比如我们输入 www.baidu.com,那么会返回一个百度搜索的界面,这其实就是浏览器和百度服务器之间的网络通信过程。浏览器就是客户端,用于发出请求,而百度的服务器就是服务端,用于接收并响应请求。 下面我们就来详细讲解这个庞大的网络通信过程。 1. 解析 URL 不知道有没有同学会混淆域名和 URL 的概念,
url跳转漏洞?绕过的原理
05-25
URL跳转漏洞(Open Redirect Vulnerability),是一种常见的网络安全漏洞攻击者通过构造恶意的URL,将用户重定向到一个看起来正常但实际上是恶意的网站,从而实现攻击目的。攻击者通常会将恶意URL伪装成一个看起来可信的链接,如银行网站、社交媒体或电子邮件等,以欺骗用户点击链接。 绕过原理主要是利用了一些URL验证漏洞,即攻击者会在URL中添加一些参数或字符,使得目标网站无法正确验证URL的合法性,从而绕过了目标网站的安全限制。例如,攻击者可以通过在URL中添加“//”或“\”等字符,使得目标网站无法正确解析URL,从而将用户重定向到恶意网站。 攻击者还可以利用目标网站的跳转机制,如HTTP 302跳转,将用户重定向到恶意网站。攻击者可以构造一个恶意URL,其中包含一个指向目标网站的跳转链接,并在目标网站上添加一个自动跳转页面,将用户重定向到恶意网站。 为防止URL跳转漏洞,开发者应该对所有的跳转链接进行验证,并确保只有合法的链接才能跳转。例如,验证跳转链接是否属于同一域名下,防止跳转到不同域名下的恶意网站。同时,开发者还应该注意URL编码和解码的问题,避免恶意字符被注入到URL中。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值