| |
|
开发:
C++知识库
Java知识库
JavaScript
Python
PHP知识库
人工智能
区块链
大数据
移动开发
嵌入式
开发工具
数据结构与算法
开发测试
游戏开发
网络协议
系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程 数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁 |
-> PHP知识库 -> 10.未验证的重定向和转发 -> 正文阅读 |
|
[PHP知识库]10.未验证的重定向和转发 |
附带一些自己的理解,如果有错误还请大佬指点 1.攻击说明 ? ? ? ? ①攻击者可能会利用未经验证的重定向目标来实现钓鱼欺骗,诱导用户访问恶意站点。(欺骗用户) ? ? ? ? ②攻击者可能利用未经验证的跳转目标绕过网站的访问控制检查。(攻击网站) 2.攻击举例 ? ? ? ? 1)利用重定向的钓鱼链接 ? ? ? ? ? ? ? ? http://example.com/redirect.asp?=http://malicious.com ? ? ? ? 【攻击分析】前面是正常访问网站的URL,为方便说明使用http://example.com网站地址,后面的redirect.asp负责跳转到预先设定好的钓鱼网站http://malicious.com。 (大概就是访问http://example.com/redirect.asp会跳转到我们的钓鱼网站) ? ? ? ? 2)更为隐蔽的重定向钓鱼链接 ? ? ? ? ? ? ? ? http://example.com/userupload/photo/7642784/../../../redirect.php?%3F%3Dhttp%3A//www.malicious.com ? ? ? ? 【攻击分析】这个例子是上面的钓鱼技术延伸,这个例子有点隐蔽。在合法网站上,用户上传照片时,获取一登陆用户的认证成功信息,然后跳转到一个预先设定好的攻击网站,通过已经认证的信息进行攻击。(这里我一直有疑问,知道有天看到一个up主的视频,才知道有挂马这种技术,个人认为可能是应用到这种技术了) ? ? ? ? 3)利用跳转绕过网站的访问权限控制检查 ? ? ? ? http://example.com/jump.jsp?forward=admin.jsp ? ? ? ? 【攻击分析】这个例子不是跳转到第三方攻击网站,而是收集用户已经认证成功的信息对原网站进行攻击。这个例子是在自身网站中通过不同的跳转访问高权限或管理者页面,本例是跳转到管理者页面。(攻击网站) ? ? ? ? 【开发人员防范攻击的方法】 ? ? ? ? (1)尽量不用重定向和跳转 ? ? ? ? (2)对重定向或跳转的参数内容进行检查,拒接站外地址或特定站内页面。 ? ? ? ? (3)即使是本站的地址,用户的所有URL访问请求都要进行合法性身份验证。 ? ? ? ? (4)不在URL中显示目标地址,而以映射的代码表示(http://example.com/redirect.asp?=234)? ? ? ? (这里将目标地址换成了数字,也就是映射的代码) |
|
PHP知识库 最新文章 |
Laravel 下实现 Google 2fa 验证 |
UUCTF WP |
DASCTF10月 web |
XAMPP任意命令执行提升权限漏洞(CVE-2020- |
[GYCTF2020]Easyphp |
iwebsec靶场 代码执行关卡通关笔记 |
多个线程同步执行,多个线程依次执行,多个 |
php 没事记录下常用方法 (TP5.1) |
php之jwt |
2021-09-18 |
|
上一篇文章 下一篇文章 查看所有文章 |
|
开发:
C++知识库
Java知识库
JavaScript
Python
PHP知识库
人工智能
区块链
大数据
移动开发
嵌入式
开发工具
数据结构与算法
开发测试
游戏开发
网络协议
系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程 数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁 |
360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 | -2024/12/29 4:52:26- |
|
网站联系: qq:121756557 email:121756557@qq.com IT数码 |
数据统计 |