联众世界URL跳转漏洞

最新推荐文章于 2023-05-31 14:55:56 发布
最新推荐文章于 2023-05-31 14:55:56 发布
阅读量245 收藏
点赞数
文章标签: web安全 网络安全 安全 hack wooyun
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jd_cx/article/details/124140789
版权
这篇博客揭示了2010年7月联众世界主站存在的一个URL跳转漏洞,该漏洞可能导致用户被引导至未经授权的第三方网站,从而面临钓鱼攻击风险。漏洞细节经过不同阶段逐步公开,直至8月22日对公众公开。修复方案是限制跳转域名以确保安全性。
摘要由CSDN通过智能技术生成

漏洞详情

披露状态:

2010-07-23: 细节已通知厂商并且等待厂商处理中
1970-01-01: 厂商已经确认,细节仅向厂商公开
1970-01-11: 细节向核心白帽子及相关领域专家公开
1970-01-21: 细节向普通白帽子公开
1970-01-31: 细节向实习白帽子公开
2010-08-22: 细节向公众公开

简要描述:

联众世界主站某url存在跳转漏洞,可以跳转到未授权的第三方网站,可能被攻击者利用钓鱼。

详细说明:

http://www.ourgame.com/Deal_Cookies.asp?nexturl=
该跳转页面在跳转时未判断域名有效及安全性。

漏洞证明:

http://www.ourgame.com/Deal_Cookies.asp?nexturl=http://www.wooyun.org

修复方案:

限制跳转域名

Sword-heart
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
YW系列高速网口连接器手册
03-18
YW系列高速网口连接器手册
JSP跳转方式
热门推荐
itmyhome的专栏
11-15 4万+
一:RequestDispatcher.forward()        是在服务器端起作用,当使用forward()时,Servlet engine 传递HTTP请求从当前的Servlet  or jsp  到另外一个Servlet JSP 或普通HTML文件        可以进行参数传递 如: RequestDispatcher rd = context.getRequestDispa
小程序中页面跳转方法
ywxiaochengxu的博客
09-29 7826
第一种方法: 应用导航组件 navigator 组件跳转,并把数据传递到下一个页面中。 代码示例如下:                                                                  {{item.name}}                            
YW. 增改同框、同接口实现,绑定不止一种身份信息
Aodexiusijiang的博客
05-31 1296
增改同框逻辑实现
外部浏览器唤醒APP跳转指定页面,点击返回到APP首页
qq_32430463的博客
01-18 6269
需求: 分享内容页面中有一个按钮,点击跳转到APP中的指定的某个页面,例如分享了一个文章页面,点击按钮跳转到APP的文章详情页面 页面跳转逻辑分析: 情景1:用户未安装APP,点击跳转直接跳转下载链接即可 情景2:用户安装了APP且已经打开APP(或者APP挂在后台),点击跳转按钮直接跳转至文章详情页,点击返回就返回到APP之前所处的页面 情景3:用户安装了APP未打开APP(冷启动),点击跳转按钮直接跳转至文章详情页,点击返回就返回到APP首页 实现: 步骤1:在目标Activity清单文件
联众世界游戏大厅2017Beta1官方安装版
07-30
联众游戏大厅是联众世界自主开发的一款集棋牌、休闲、对战于一体的游戏客户端, 用户可以通过游戏大厅迅速进入联众游戏世界,与来自世界各地的玩家同竞技,共欢乐。 更新内容: 1.美化游戏进入图标 2.修改了...
联众HIS4表结构.docx
08-11
### 联众HIS4表结构解析 #### 概述 浙江联众HIS4.0是一款专门针对医院信息管理系统的软件解决方案。本解析基于提供的文档内容进行深入分析,旨在帮助用户理解其核心模块——“病药”部分的具体表结构、主键设置以及...
联众电子病历表结构文档.doc
08-11
联众电子病历表结构文档》是浙江联众卫生信息科技有限公司提供的关于电子病历系统的主要表结构的详细说明,旨在帮助ZJHIS、EMR3、EMR及EMRJK等用户理解并有效地操作和管理电子病历数据。文档由占贵顺和葛向东两位...
联众识别HTTP_V2.1.ec
11-21
联众代答HTTP答题(联众_报错,联众_查询,联众_答题),系统核心支持库[krnln],通用对象支持库[commobj]
联众识别HTTP_V2.1.zip
04-15
模块中的“联众_报错”功能,用于向服务器报告游戏运行时遇到的错误。在软件开发中,错误处理是非常重要的一环,能够及时反馈问题,有助于开发者快速定位并修复错误,提高用户体验。通过调用这个功能,开发者可以将...
CORS解决跨域的几种实现方式
m0_59508658的博客
08-19 7417
目录 一、什么是跨域 二、同源策略 非同源限制 三、跨域的解决办法 CORS 3.1、两种请求 3.1.1、简单请求 3.1.2、非简单请求 3.2、CORS常用解决跨域的方法 3.2.1、HttpServletResponse添加头信息 3.2.2、使用Spring注解@CrossOrigin 3.2.3、通过配置类解决跨域 一、什么是跨域 当一个请求的url的协议、域名、端口任意一个与当前页面的url不同即为跨域 a页面想获取b页面的资源,a与b页面的协议、域名或端口
[ 物联网篇 ] 02 - Yocto Project (YP)快速入门
程序手艺人 - 嵌入式音频技术之旅
04-07 1万+
NXP i.MX 8M Mini 的源码构建系统使用的是Yocto,如果不熟悉Yocto,完全看不懂 i.MX 8M Mini 的相关代码。 废话不多说,直接到Yocto 官网看文档,写Demo。参考官网的文档 Yocto Project Quick Start Yocto Project Quick Build Yocto Project Overview and Concepts...
网站本页点击跳转
Richard_666的博客
09-21 3万+
<a href="#abc"></a> <span id="abc"></span>
工作中使用到的单词(软件开发)_2021-10-23_备份
sun0322
10-23 3971
https://blog.csdn.net/sxzlc/article/details/104872052 目录 ■常用链接 2020 6/28 整理 2020 6/29整理 2020 7/6整理 ■2020/10/07 以降整理 ■2020/11/02 以降整理 ■2020/12/04 以降整理 ■2020/12/14以降整理 ■2021/01/01以降整理 ■2021/02/22以降整理 ■匿名内部类,lambda表达式,JDK7新特性,等等java相关 ■2021/03...
常见的跨域方式及原理-第一篇
逆光的博客
03-29 672
跨域:通过js在不同的域之间进行数据传输或通信,比如用ajax向一个不同的域请求数据或者通过js获取页面中不同域的框架(iframe)中的数据。只要协议、域名、端口有任何一个不同,都被当作是跨域。下表给出了相对http://store.company.com/dir/page.html同源检测的结果:
PHP禁止外网访问本站接口(防跨域防盗链)
美奇软件开发工作室
07-04 1590
为什么网站要防跨域防盗链? 随着前后端分离技术的兴起,很多手机端网站、小程序、APP访问后台数据都是调用API接口,很多接口都是内部使用的,而不是对外开放,如果没有做好防护措施,你家的接口很可能被其他人盗用,接口被盗用的的话,一方面会增加系统的负担,另一方面是数据被黑客利用,对企业造成一定的损失。本文着重介绍两种php防跨域防盗链的方法,供大家参考! 一、禁止非本站域名访问 <?php $refer = $_SERVER['HTTP_REFERER']; if($refer){
​ 为A站续命半年的不是Java/PHP,是Lua防盗链网关
xingworld的专栏
02-07 472
​ 第一次写技术型文章,文笔不好,好紧张,只是为了纪念一下曾经爱过的 A 站,A 站的技术小伙伴们很努力! 我仅想借此文,让大家了解 A 站的技术们为反击盗链所付出的努力。 我大概是 2017 年 6 月底接到上级领导的指示: 必须以最快的的速度开发防盗链网关。原因很简单,带宽的费用实在是太高了,公司实在难以承受,具体的数额不便透露,无论多少,省点钱可以
web资源防盗链
JAVA开发者@邢先生
03-10 277
web资源防盗链 盗链:在自己的页面上展示一些并不在自己服务器上的内容,获得他人服务器上的资源地址,绕过别人的资源展示页面,直接在自己的页面上向最终用户提供此内容,常见的是小站盗用大站的图片,音乐,视频,软件等资源,通过盗链的方法可以减轻自己服务器的负担,因为真实的空间和流量均是来自别人的服务器 防盗链:防止别人通过一些技术手段绕过本站的资源展示页面,盗用本站的资源,让绕开本站资源展示页面的资源链接失效,可以大大减轻服务器及带宽的压力 工作原理:通过请求头中的referer或者签名,网站可以检测目标网页访问
Web链接跳转到app指定页面并传值
梦想就是让你坚持就感到幸福的东西
08-04 3421
在manifest文件中申明scheme和parentActivity &lt;activity android:name=".SecondActivity" android:parentActivityName=".MainActivity"&gt; &lt;!--申明parentActivity,用户按返回键后返回主页面--&gt; ...
联众识别http_v2.1
最新发布
09-10
联众识别http_v2.1是联众公司推出的一种网络验证码识别技术版本。在网络应用程序中,为了防止机器人或自动程序对系统进行恶意攻击或滥用,通常会设置验证码,要求用户输入图片中的字符或进行其他人机识别验证。联众...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值