常见Web安全错误#10:未经验证的重定向和转发

发布时间: 2020-11-9 22:57 作者 : kr 本文共550个字,预计阅读时间需要2分钟 共1.12K人阅读

标题:常见Web安全错误#10:未经验证的重定向和转发来源于:文章底部显示

常见Web安全错误#10:未经验证的重定向和转发

这再次是输入过滤问题。假设目标站点具有一个redirect.php以URL作为GET参数的模块。操纵参数可以创建一个URL,targetsite.com该URL会将浏览器重定向到malwareinstall.com。当用户看到链接时,他们将看到targetsite.com/blahblahblah用户认为受信任且可以安全单击的链接。他们几乎不知道这实际上会将其转移到恶意软件删除(或任何其他恶意)页面上。或者,攻击者可能会将浏览器重定向到targetsite.com/deleteprofile?confirm=1。

值得一提的是,将未经消毒的用户定义输入填充到HTTP标头中可能会导致标头注入,这非常糟糕。

预防: 选项包括:

根本不执行重定向(它们很少必要)。

具有要重定向到的有效位置的静态列表。

将用户定义的参数列入白名单,但这可能很棘手。
999常见Web安全错误#10:未经验证的重定向和转发-
结语

我希望我能够通过这篇文章使您的大脑发痒,并引入健康的偏执狂意识和网站安全漏洞意识。

这里的核心结论是,存在古老的软件实践是有原因的,并且这种情况在过去适用于缓冲区溢出,而今天仍然适用于Python中的腌制字符串。安全协议可帮助您编写(更多)正确的程序,所有程序员都应追求。

最后久站资源网提醒你请负责任地使用此知识



本站本着相互幫助,合作共贏嘅精神,幫助大家,如果有侵犯版權或違反法律嘅行為請聯系負責人進行刪除和嚴懲本站用戶
» 常见Web安全错误#10:未经验证的重定向和转发

常见问题FAQ

源码存在后门嘛?
每个源码提供者都是认真核查后发布出来的,如果有后门,官方会严惩作者!
技术都是免费的吗?
大多资源和技术学习都是免费得,部分比较高级的学习资料发布者收费也是可以的!
使用的软件可靠嘛?
软件都是进行挑选出来的,保障每个都能正常的使用。
找人任务修改会有危险吗?
请建议不要私下交易,任何都以平台为主,如果技术方愚弄你,都会受到严惩!

标题:常见Web安全错误#10:未经验证的重定向和转发

发表评论

热图

标题:常见Web安全错误7:缺少功能级别的访问控制

立即加入 了解詳情
sitemap: Baiduxml Baiduhtxt 360xml 360txt Sogouxml Sogoutxt Smxml Smtxt Byxml Byhtxt Googlexml Googletxt
底部
rss
×