本文介绍了URL重定向漏洞的概念,它允许攻击者通过控制输入URL实施网络钓鱼。漏洞成因包括未验证的用户输入用于重定向。后果包括用户访问恶意网站,可能导致电脑被黑客攻击,个人信息泄露。防范措施包括输入验证和设计层面的安全考虑。推荐阅读CWE-601以了解更多。
关注公众号“中科天齐软件安全中心”(id:woocoom),一起涨知识!
该栏目为中科天齐全新规划的悟空云课堂,每周五下午18:00准时上线,旨在科普软件安全相关知识,助力企业有效防范软件安全漏洞,提升网络安全防护能力。
本期主题为URL重定向(跳转)漏洞的相关介绍。
URL重定向:
URL重定向(URLredirection)漏洞,又称跳转漏洞,指的是网络应用程序接受用户可控的输入作为到外部站点的链接,然后在重定向中使用该链接。该安全漏洞给网络钓鱼攻击提供了极大的便利。
漏洞的构成条件:
1、URL从用户可控制的输入中提取;
2、该URL未经验证,就被用于网络应用程序的重定向地址。
URL重定向的常见后果:
关键词:绕过保护机制;获取权限或假冒身份
用户的访问可能会被重定向到不可靠的网页。不可靠网页中可能存在恶意软件并可能攻陷用户电脑。一旦用户电脑被攻陷,用户就暴露在大量各种网络危机中。而且用户和网络服务器的交互也可能被攻陷,导致个人身份,密码等关键敏感信息的泄漏。
URL重定向的一些防范和修补建议
1、从实现角度,进行输入验证:对输入的信息进行验证。比如说使用已知的有效输入验证机制,或是制定严格的说明来规范输入的信息等等。对于不符合规范的输入,或
最低0.47元/天 解锁文章
扫一扫
836
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
