URL跳转漏洞:
定义:借助未验证的URL跳转,将应用程序引导到不安全的第三方区域,从而导致的安全问题。
实现方式:
Header头跳转
后端:获取到URL中链接,设置Header中Location方法页面跳转
Javascript跳转
通过JS代码获取用户请求并截取链接,通过widnow.location.href设置跳转到的链接地址。
META标签跳转
//获取链接
u
r
l
=
url=
url=_REQUEST[“url”];
//跳转到链接地址
content延时执行
原理分析:
1.构造恶意链接
2.访问web应用
3.引导进入恶意网站