亚博集团 有关网站跳转劫持漏洞的发现和修复建议

日期:2021-01-20 05:11:51 浏览量: 168

2019年针对Python工程师的Unicorn企业重型招聘标准>>>

网站渗透测试是指模拟入侵者的攻击方法以检测网站漏洞而无需获取网站和服务器的源代码,以及渗透测试,可以对网站的安全性进行全面的安全检查。最大限度地提高安全性。在挖掘网站漏洞时,我们发现许多网站都有域名重定向。让我们在下面详细解释。

域劫持重定向也可以称为url重定向漏洞。简而言之,您可以在原始URL下使用当前域名跳转到自己设置的被劫持URL。攻击者通常使用URL跳转漏洞进行网络钓鱼,以获取用户帐户密码,Cookie和其他信息。当SINE Security在客户网站上进行安全检查时银河体育ag百家乐 ,许多公司网站在登录界面,付款退回页面,消息页面,充值页面和银行卡设置中都有域重定向漏洞。

让我们模拟一个真实的渗透测试并构建一个域名地址为// 127.0.0.1 /的本地网站环境。最简单,最容易理解的是,我们登录网站时间,我们进行了劫持并伪造了我们设计的网络钓鱼页面,使其与客户的网站完全相同,代码为:: //我们构建的网络钓鱼地址/websafe.php,我们将此地址发送给用户,让他们可以登录。如下图所示:

27028311a4a248d6aac750f1630cfdc7.png

2c5247d805064b649dc4dcebb82dca10.png

从以上两个图可以看出,URL跳转漏洞已被充分利用。有些网站可能会保护跳转的代码网站漏洞修复建议,但我们可以使用防病毒签名来绕过它。如@符号,问号? ,#,斜杠绕过,反斜杠绕过,https协议绕过,XSS跨站点代码绕过。充值界面绕过和跳过劫持漏洞,大多数平台和在线购物系统都会有充值页面快乐8电竞 ,充值成功后会跳转到商家的网站。在跳转过程中,我们需要补充一部分金额。测试漏洞会导致不存在。只要您勇敢尝试,渗透测试漏洞就会得到奖励。我们已经成功测试了充值漏洞的前端时间。如下图所示:

7cef6808d89d445eb14b15596f38ae70.png

利用域名重定向漏洞,我们将能够获得客户登录的cookie和管理员的cookie值,使用管理员的cookie值登录到网站后端,将webshel​​l上传到网站,并进一步篡改和控制该网站。

关于如何修复网站重定向漏洞,我们的SINE安全公司建议修复程序代码中的漏洞牛牛棋牌 ,增强域名后输入的字符长度,并对域名中的字符进行限制和安全过滤,例如作为http和。 URL地址之后。并且特殊字符和参数值也得到了增强以进行过滤亚博99 ,例如:重定向,跳转,redurl和其他参数值。始终提醒网站用户不要随意打开他人发送的网站链接地址网站漏洞修复建议,以最大程度地提高网站安全性。