黑客构造恶意链接给普通用户,普通用户点击链接访问看似安全的web服务器,最终跳转访问黑客恶意网站。
中奖率,或者给XXX投票
如 http://qt.qq.com/safecheck.html?flag=1&url=http://jtvx518.cc
将恶意网站与正规网站混合在一起。
实现URL的跳转:
Header头跳转
Javascript跳转
META标签跳转
根据上面的场景分析,我们知道,之所以会出现跳转 URL 漏洞,就是因为服务端没有对客户端传递的跳转地址进行合法性校验,所以,预防这种攻
击的方式,就是对客户端传递过来的跳转 URL 进行校验。
常用的方式:
服务端配置跳转白名单或域名白名单,只对合法的 URL 做跳转
URL 转发是指通过域名解析设置,将访问您当前域名的用户引导到您指定的另一个网络地址。
例如,设置显性 URL 转发后,当用户访问 http://abc.com 时自动转向访问一个您指定的域名 http://123.com ;隐性 URL 转发与显性类似,但会隐藏真实的目标地址,即当用户访问 http://abc.com 时自动转向 http://123.com ,但地址栏仍旧显示 http://abc.com 。
登录阿里云/万网 【管理控制台】-- 点击主导航栏 【产品与服务】--【云解析】,进入域名解析列表;
点击需要设置 URL 转发的域名,进入域名控制台,解析设置页;点击 【添加解析】 ,在记录类型选择 显性/隐性 URL,主机记录即域名前缀,可任意填写(如:www),在记录值输入您希望转发的网址,点击保存即可。
URL 转发时记录值不能为 IP 地址,且不支持泛解析设置。
URL 转发的目标域名不支持中文域名
【注意】根据工信部关于域名跳转服务的政策要求,URL 转发功能目前只支持网站有备案号且接入商是万网的域名转发需求(转发前后的域名),网站无备案号或接入商不是万网的域名转发需求暂不支持。
如问题还未解决,请联系 售后技术支持 。
https://help.aliyun.com/knowledge_detail/39795.html?spm=a2c4e.11153987.0.0.6fcd4b20IrmUTf
欢迎分享,转载请注明来源:夏雨云
评论列表(0条)