Pikachu-url重定向-不安全的url跳转

不安全的url跳转

不安全的url跳转问题可能发生在一切执行了url地址跳转的地方。如果后端采用了前端传进来的(可能是用户传参,或者之前预埋在前端页面的url地址)参数作为了跳转的目的地,而又没有做判断的话就可能发生"跳错对象"的问题。

url跳转比较直接的危害是:

钓鱼,既攻击者使用漏洞方的域名(比如一个比较出名的公司域名往往会让用户放心的点击)做掩盖,而最终跳转的确实钓鱼网站

这里的跳转时通过url传递参数的,可以传一个外部链接,如http://www.baidu.com ,

从后端代码可以看到,这里没做任何限制直接跳过去了;

防御手段:

服务端配置跳转白名单或域名白名单,只对合法的 URL 做跳转

相关推荐
德迅--文琪35 分钟前
筑牢主机安全最后一公里,德迅卫士构建全维度智能防护屏障
安全
+wacyltd大模型备案算法备案36 分钟前
大模型评估测试题库怎么建?风险分类、测试样本的完整方法
人工智能·算法·安全·分类·大模型·大模型备案·大模型上线登记
志栋智能4 小时前
超自动化安全如何优化安全运营成本?
人工智能·安全·自动化
jieyucx4 小时前
【系统安全铁律】解密 Linux 权限三色数字密码:chmod 最小化赋权与生产环境避坑指南
linux·安全·系统安全·权限·chmod·777
xiaohaiAIgeo5 小时前
【2026年】生物安全实验室P2/P3通风系统设计要点与合规要求
安全·科普知识
HackTwoHub6 小时前
某单位 CMS 完整渗透链、SQL 注入→后台拿权→绕过宝塔 Waf 上线 shell
数据库·人工智能·sql·安全·网络安全·系统安全·安全架构
山东穆柯传感器6 小时前
车间安监验收不通过?安全地毯选对厂家一次达标
安全
Kyrie6786 小时前
OpenSSH 10.4 发布:后量子签名时代来临
安全
IVVi0jToe6 小时前
高效C++线程池设计与实现
java·c++·安全
MartinYeung57 小时前
实战测试 LLM 安全护栏:@martin_yeung/llm-up-guardrail 全面评测与避坑指南
安全