网易某分站的URL跳转弱点

最新推荐文章于 2022-04-17 10:44:22 发布
最新推荐文章于 2022-04-17 10:44:22 发布
阅读量3.1k 收藏
点赞数
文章标签: web安全 网络安全 安全 hack wooyun
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jd_cx/article/details/124188433
版权

漏洞详情

披露状态:

2010-07-26: 细节已通知厂商并且等待厂商处理中
1970-01-01: 厂商已经确认,细节仅向厂商公开
1970-01-11: 细节向核心白帽子及相关领域专家公开
1970-01-21: 细节向普通白帽子公开
1970-01-31: 细节向实习白帽子公开
2010-08-26: 细节向公众公开

简要描述:

网易某分站的URL跳转弱点,可跳转到非授权的第三方网站,目前已被恶意使用者用于钓鱼。

详细说明:

网易某分站的URL跳转弱点,可跳转到非授权的第三方网站,目前已被恶意使用者用于钓鱼。
纯友情提交,非本人原创发现
详情见:
http://hi.baidu.com/fuxudong/blog/item/d918d7ddb66624e276c638d6.html

漏洞证明:

http://allyes.nie.163.com/main/adfclick?db=afanie&bid=10911%2C5331%2C223&cid=185%2C4%2C1&sid=11131&show=ignore&url=http://www.baidu.com

修复方案:

过滤参数

版权声明:转载请注明来源 CnCxzSec(衰仔)@乌云

Sword-heart
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
根据ip跳转到对应的二级分站代码.zip
05-12
这通常涉及到一个配置数组或者数据库表,存储了城市与分站URL的对应关系。例如: ```php $city_to_subdomain = array( '北京' => 'beijing.example.com', '上海' => 'shanghai.example.com', // ... ); if ...
判断访问者IP进行城市显示或跳转城市分站最新IP库
12-07
在构建分布式或者多城市分站的网站时,为了提供更精准的本地化服务,通常需要根据访问者的IP地址判断其所在的城市,并据此显示相应的城市分站内容或进行页面跳转。"判断访问者IP进行城市显示或跳转城市分站最新IP库...
网易云课堂web安全学习第七天——了解url跳转漏洞
qq_43571272的博客
11-06 555
第一        url跳转漏洞是什么                借助未验证的URL跳转,将应用程序引导到不安全的第三方区域,从而导致安全问题                         比如:http://www.baidu.com?url=www.longaotian.cn 第二        url跳转漏洞实现过程            攻击者构造恶意链接     用户...
URL重定向/跳转漏洞
热门推荐
七月_的博客
10-22 1万+
0x00 相关背景介绍 由于应用越来越多的需要和其他的第三方应用交互,以及在自身应用内部根据不同的逻辑将用户引向到不同的页面,譬如一个典型的登录接口就经常需要在认证成功之后将用户引导到登录之前的页面,整个过程中如果实现不好就可能导致一些安全问题,特定条件下可能引起严重的安全漏洞。 0x01 成因 对于URL跳转的实现一般会有几种实现方式: META标签内跳转 javascript跳转 ...
黑客攻击方式之水坑攻击和URL跳转漏洞
dasgk的专栏
12-16 4776
水坑攻击 在技术日新月异的今天,网络攻防永无止日。技术的发展使得网络攻击形态不断变化,并衍生出不少新的攻击方法,水坑攻击便是其中一种。根据赛门铁克(Symantec)最新发布的2012网络安全威胁报告,水坑攻击已经成为APT攻击的一种常用手段,影响范围也越来越广。 据国外媒体报道,在今年,包括苹果、Facebook和Twitter在内的科技公司网站纷纷遭遇了黑客入侵事件,而且有迹象显示
网易分站存在注入漏洞
swordheart的博客
04-17 4541
漏洞详情 披露状态: 2010-07-30: 细节已通知厂商并且等待厂商处理中 2010-07-30: 厂商已经确认,细节仅向厂商公开 2010-08-09: 细节向核心白帽子及相关领域专家公开 2010-08-19: 细节向普通白帽子公开 2010-08-29: 细节向实习白帽子公开 2010-08-29: 细节向公众公开 简要描述: 网易分站存在注入漏洞 详细说明: 网易分站存在注入漏洞 漏洞证明: http://mms.163.com/new_web/cm_lv2_pic.jsp?
网站分站的实现方法
10-29
当用户访问一个分站时,服务器会读取请求的URL,并根据URL从数据库中获取相应的数据,然后动态生成并显示页面。这种方式可以提供非常灵活的内容展示,可以针对不同的分站定制不同的内容和布局。不过,它的缺点是灵活...
dede源码多城市分站插件.rar
08-20
标题中的“dede源码多城市分站插件.rar”表明这是一个基于dede CMS(织梦内容管理系统)的插件,用于实现多城市分站功能。dede CMS是一款基于PHP和MySQL技术的开源CMS,广泛应用于网站搭建。这个插件的目的是让网站...
宝塔自助建站分站版-PHP
06-21
宝塔自助建站分站版是一个建立官网分站的PHP源码。网站功能:搭建网站,管理网站,网站重装还原。支付功能:支持对接易支付/码支付/微信官方支付/支付宝官方支付,实现及时到账。程序管理:系统内已经集成40+程序,...
杰迅CMS全国城市分站系统
最新发布
08-29
杰迅CMS全国城市分站系统 杰迅CMS是一款基于TP5.0框架为核心开发的一套免费+开源的城市分站内容管理系统。团队自2013年起自主研发城市分站内容管理系统,5年来,修复升级上千个功能性问题 1、适用场景 城市分站系统...
dede源码多城市分站插件安装说明.zip
04-22
2. **.htaccess**:这是一个Apache服务器的配置文件,用于URL重写和访问控制,可能在实现城市分站URL结构优化和防止未授权访问方面发挥作用。 3. **include**:这是一个目录,通常在织梦系统中包含各种函数库和类...
基于Linux系统矿用分站的设计
07-13
目前煤矿井下建有安全监控系统、矿压监测系统、辅助运输监控系统等一系列的系统,但各系统存在相对封闭、通用性、兼容性差的问题,在系统建设过程中,分站设备、网络传输设备以及传输线路等存在着重复建设现象。...
分站式网站架构开发方案书.doc
11-18
分站式网站架构开发方案书》探讨了构建高效、扩展性强且适应性强的网站架构的重要性和具体实施步骤。此方案书着重强调了二次开发在大型项目中的优势,特别是选择合适的开源B2B建站系统作为基础,以减少开发时间和...
迅睿分站站群cms系统源代码
03-18
迅睿seo分站站群系统主要面向学校、集团、个人站长。迅睿seo分站站群系统模式为“主站+分站”的模式,每个分站均可以独立系统,也可以采用独立的数据库、顶级域名、不同的服务器,同时支持ftp异步撤分。站群系统支持...
织梦全国多城市分站地区插件(带教程)别轻易尝试_经济_织梦分站_织梦全国分站_全国分站_
09-29
1. `bcloud_nginx_user.conf`:这可能是一个配置文件,用于配置云服务器上的Nginx Web服务器,以支持织梦多城市分站的设置,包括URL重写规则和服务器配置优化。 2. `[重要]织梦多城市分站操作文档.docx`:这是一个...
asp.net根据客户端IP地址自动调整到网站分站地址
09-13
3. URL重定向:通过`Response.Redirect`实现页面跳转。 4. 字符串操作:获取区域首字母作为二级域名。 5. 错误处理:考虑IP地址解析失败或不在数据库范围内的情况。 这个压缩包文件"redirectOfIP"可能包含实现以上...
多功能网关分站管理软件
12-24
【标题】"多功能网关分站管理软件"指的是专门用于管理和配置矿井安全监控系统中网关类分站的软件工具。在矿井安全监控系统中,网关分站起着至关重要的作用,它们是系统通信的核心节点,负责数据的采集、传输以及不同...
B2B分站式网站架构二次开发与 DestoonB2B 系统分析
"B2B分站式网站架构开发方案书" 本文主要探讨的是B2B分站式网站的架构开发方案,旨在为建设高效、灵活且适应性强的B2B电商平台提供指导。以下是该方案的关键点: 1. **智能型分布式三层网模块化结构**: 这种架构...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值