码迷,mamicode.com
首页 > Web开发 > 详细

实战之授权站点漏洞挖掘-url重定向

时间:2019-12-14 12:16:48      阅读:121      评论:0      收藏:0      [点我收藏+]

标签:利用   变量   登录页面   href   ora   alt   family   style   挖掘   

1.思路

查找一些跳转的页面,比如从退出页面,登录页面.

2.利用

https://url/signout?returnUrl=https://www.baidu.com

技术图片

3.防御

(1) 代码固定跳转地址,不让用户控制变量

(2)跳转目标地址采用白名单映射机制

(3)合理充分的校验校验跳转的目标地址,非己方地址时告知用户跳转风险

实战之授权站点漏洞挖掘-url重定向

标签:利用   变量   登录页面   href   ora   alt   family   style   挖掘   

原文地址:https://www.cnblogs.com/-lyr/p/12038485.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!