漏洞细节
事情起因是今天下载论文的时候发现了百度学术的跳转,并且url可以任意 (重新整理了一下,下面这个网址有钓鱼站的网址),打开后,看标题,重点是看标题,不是什么跳转。
http://xueshu.baidu.com/s?wd=paperuri%3A%284a9cb4a895e665c048089b2b3a78e1cf%29&filter=sc_long_sign&tn=SE_xueshusource_2kduw22v&sc_vurl=http://www.icid-icloud.com/&ie=utf-8
http是可以更换的,不过不能访问到内网
看标题,如果放一个百度学术的找回密码站点,直接就可以钓鱼了,怎么能说没影响呢
附两张图的对比
对定向内容审查