常见WEB攻击之URL跳转漏洞

常见WEB攻击之URL跳转漏洞,第1张

URL 跳转漏洞是指后台服务器在告知浏览器跳转时,未对客户端传入的重定向地址进行合法性校验,导致用户浏览器跳转到钓鱼页面的一种漏洞。

黑客构造恶意链接给普通用户,普通用户点击链接访问看似安全的web服务器,最终跳转访问黑客恶意网站。

中奖率,或者给XXX投票

如 http://qt.qq.com/safecheck.html?flag=1&url=http://jtvx518.cc

将恶意网站与正规网站混合在一起。

实现URL的跳转:

Header头跳转

Javascript跳转

META标签跳转

根据上面的场景分析,我们知道,之所以会出现跳转 URL 漏洞,就是因为服务端没有对客户端传递的跳转地址进行合法性校验,所以,预防这种攻

击的方式,就是对客户端传递过来的跳转 URL 进行校验。

常用的方式:

服务端配置跳转白名单或域名白名单,只对合法的 URL 做跳转

URL 转发是指通过域名解析设置,将访问您当前域名的用户引导到您指定的另一个网络地址。

例如,设置显性 URL 转发后,当用户访问 http://abc.com 时自动转向访问一个您指定的域名 http://123.com ;隐性 URL 转发与显性类似,但会隐藏真实的目标地址,即当用户访问 http://abc.com 时自动转向 http://123.com ,但地址栏仍旧显示 http://abc.com 。

登录阿里云/万网 【管理控制台】-- 点击主导航栏 【产品与服务】--【云解析】,进入域名解析列表;

点击需要设置 URL 转发的域名,进入域名控制台,解析设置页;点击 【添加解析】 ,在记录类型选择 显性/隐性 URL,主机记录即域名前缀,可任意填写(如:www),在记录值输入您希望转发的网址,点击保存即可。

URL 转发时记录值不能为 IP 地址,且不支持泛解析设置。

URL 转发的目标域名不支持中文域名

【注意】根据工信部关于域名跳转服务的政策要求,URL 转发功能目前只支持网站有备案号且接入商是万网的域名转发需求(转发前后的域名),网站无备案号或接入商不是万网的域名转发需求暂不支持。

如问题还未解决,请联系 售后技术支持 。

https://help.aliyun.com/knowledge_detail/39795.html?spm=a2c4e.11153987.0.0.6fcd4b20IrmUTf


欢迎分享,转载请注明来源:夏雨云

原文地址:https://www.xiayuyun.com/zonghe/230921.html

(0)
打赏 微信扫一扫微信扫一扫 支付宝扫一扫支付宝扫一扫
上一篇 2023-04-09
下一篇2023-04-09

发表评论

登录后才能评论

评论列表(0条)

    保存