码迷,mamicode.com
首页 > 其他好文 > 详细

百度跳转漏洞

时间:2017-01-31 23:55:47      阅读:430      评论:0      收藏:0      [点我收藏+]

标签:可能性   信息   baidu   漏洞   lin   官方   相关   target   百度   

 

 

不知道这算不算漏洞,我觉得是有一定的危险的。

偶然间在百度贴吧发现一个帖子是这样的:

技术分享

点击之后会跳转到http://zmb338.com ,奇怪的是这个回复并没有被贴吧系统删除掉。

我试了一下,下面这两个帖子都没有被百度删除掉。

技术分享

 

这说明百度对站点m.baidu.com不过滤,这是第一个存在的问题,第二是百度自己没有对http://m.baidu.com/相关跳转url的参数过滤。

这种跳转漏洞很容易被钓鱼,比如我可以构造这样一个URL,附加一些欺诈信息,比如你的账户最近被异地登陆,请点击下面的网址重置密码,发送给贴吧用户,贴吧用户一看,哦,这个url是百度官方的没问题,钓鱼最忌讳这点了,一看到官方的url就松懈了,这是大忌啊。

技术分享

 

然后伪造一个修改密码的页面,就可以把密码钓到手了。

 

这说明了一个问题,就是pc站点往往只过滤pc站点的链接,对于手机站点就疏忽了,其它厂商是否也存在这样的过滤问题呢?比如说新浪,网易,知乎。

还留给我一个思考,这种跳转漏洞他们是怎么测试出来的呢? 应该有什么自动化测试工具,不断访问一个站点的各种请求,有跳转的就记录下来,这样?

或者用google hack以  inurl:src=http://为关键字搜索百度的站点,因为src这样的最容易有跳转的可能性了。

百度跳转漏洞

标签:可能性   信息   baidu   漏洞   lin   官方   相关   target   百度   

原文地址:http://www.cnblogs.com/yfish/p/6359629.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!