web基础漏洞-重定向漏洞

1、介绍

如果请求的url中存在某绝对路径的url参数，作为响应的location字段的值。

那么攻击者，可以控制该参数，使其为攻击者控制的站点中的页面。由此，使得受害者用户跳转访问，攻击者可以进行钓鱼活动。

如果跳转前url包含敏感信息，那么其将会在referer字段中被传递给攻击者。

2、测试

3、防护

可以考虑禁止location字段使用用户提交的参数

如果必须是用户控制，可以拆分该参数，严格检查一二级域名

本栏目推荐文章
• 【Shell基础】Bash基础与Linux三剑客
• 跟着阿灵学前端(1)——HTML 基础
• 跟着阿灵学前端(2)——CSS 基础
• OFBiz RCE漏洞复现（CVE-2023-51467）
• OSPF理论基础
• （坚持每天写算法）基础算法复习与学习part1基础算法1-7——高精度减法（处理t=1和t>1代码的写法，t为操作次数）
• 9-函数基础
• 春眠不觉晓，Java数据类型知多少？基础牢不牢看完本文就有数了
• Servlet基础开发
• 函数计算域名调试web应用

漏洞 基础 web漏洞 基础web 漏洞 基础web xss 漏洞 基础web sql 漏洞 逻辑 基础web 漏洞 基础web dom 漏洞 基础ssrf web 漏洞 基础web url 漏洞 基础csrf web 漏洞 基础html web 序列 漏洞 基础web