URL重定向漏洞

未经校验的重定向

未验证的重定向可能发生在 web 应用程序接受不可信输入时,这可能导致 web 应用程序将请求重定向到包含不可信输入的 URL。通过修改不可信的 URL 输入为恶意网站,攻击者可能成功发起网络钓鱼骗局,盗取用户凭据。

由于修改后的链接中的服务器名称看起来和原始网站相同(例如:www.example.com 和 www. eexample.com),网络钓鱼尝试可能看起来更具可信度。

安全的 URL 重定向

当我们想要自动将用户重定向到另一个页面(不需要访客的操作,例如点击超链接)时,可以实现如下代码:

Java Spring Boot

java 复制代码
@GetMapping("/")
public String home() {
    return "redirect:/login";  // 相对路径,域名是默认为当前域名
}

或者指定完整的URL

java 复制代码
@GetMapping("/")
public String home() {
    return "redirect:https://www.example.com/welcome";
}

Python Flask

python 复制代码
@app.route("/check_login")
def check_login():
    return redirect(url_for("login"))

或者指定完整的URL

python 复制代码
@app.route("/check_login")
def check_login():
    return redirect("https://www.google.com")

不安全的 URL 重定向

以下示例展示了不安全的重定向代码。

以下 Java 代码从名为 url 的参数(GET 或 POST)接收 URL 并重定向到该 URL:

java 复制代码
@Controller
public class RedirectController {
    @GetMapping("/redirect")
    public RedirectView redirectToUrl(@RequestParam("url") String url) {
        RedirectView redirectView = new RedirectView();
        redirectView.setUrl(url);
        return redirectView;
    }
}

以下 Python 代码从名为 url 的参数(GET 或 POST)接收 URL 并重定向到该 URL:

python 复制代码
@bp.route("/login", methods=["POST", "GET"])
def login():
    url = request.args.get("url")
    return redirect(url)

上述代码在未进行验证或额外方法控制的情况下容易受到攻击。这种漏洞可被用作网络钓鱼骗局的一部分,将用户重定向到恶意网站。

如果没有进行验证,恶意用户可以创建一个超链接,将用户重定向到未经验证的恶意网站。例如:

复制代码
http://example.com/login?url=http://malicious.eexample.com

防止未验证的重定向

安全使用重定向可以通过多种方式实现:

  1. 不允许用户输入目标 URL:如果必须使用重定向,确保目标 URL 不是用户输入的。
  2. 验证用户输入:通过创建一个受信任白名单 URL 列表(主机列表或正则表达式)来确保只有白名单中的域名/URL才可以被重定向。关于验证用户输入以确定 URL 是否安全并非简单任务。关于如何实现 URL 验证的详细说明,请参阅:SSRF漏洞
  3. 强制重定向经过确认页面:所有重定向应首先通过一个页面,通知用户他们将离开您的网站,并清晰显示目标,要求用户点击链接以确认。例如:CSDN 的URL重定向会出现如下提示。
相关推荐
四月天434 小时前
web安全-SSTI(服务器模板注入)
笔记·学习·web安全·网络安全
菩提小狗7 小时前
每日安全情报报告 · 2026-07-04
网络安全·漏洞·cve·安全情报·每日安全
菩提小狗1 天前
每日安全情报报告 · 2026-07-03
网络安全·漏洞·cve·安全情报·每日安全
中云DDoS CC防护蔡蔡1 天前
短信验证码被攻击怎么办
运维·经验分享·http·网络安全·微信
菩提小狗1 天前
每日安全情报报告 · 2026-07-01
网络安全·漏洞·cve·安全情报·每日安全
忡黑梨1 天前
安装 Claude Code(使用 DeepSeek API)
网络·网络安全
零零信安18 天前
零零信安荣登数世咨询《新质·数字安全专精百强(2026)》暗网情报领域,彰显专业实力与创新引领
安全·网络安全·数据泄露·暗网·零零信安
憧憬成为web高手18 天前
l33t-hoster
学习·web安全·网络安全
HackTwoHub18 天前
Sqli-Scanner SQL注入SKILL自动化挖掘SQL注入,零依赖自动化SQL注入挖掘,赏金猎人
数据库·人工智能·sql·web安全·网络安全·自动化·系统安全
爱网络爱Linux18 天前
网络安全与渗透测试实用工具大全
web安全·网络安全·信息安全·cisp-pte·cisp·cissp