利用URL特性绕过域名白名单检测

其他 2018-05-07 11:07:23 阅读次数: 3

以URL跳转举例：URL跳转漏洞主要是利用浏览器对URL特性的支持，绕过一些正则匹配不严谨的防护。

1.“@”
http://www.target.com/redirecturl=http://[email protected]

2.“\”
http://www.target.com/redirecturl=http://evil.com\a.whitelist.com

3.“?”
http://www.target.com/redirecturl=http://evil.com?a.whitelist.com

4.“#”
http://www.target.com/redirecturl=http://evil.com#a.whitelist.com

以上问题不单单会影响URL跳转漏洞的防护，只要涉及到对URL白名单检测的地方都可能存在此问题，比如：微信、QQ等对聊天内容中对URL的检测；检测文章/论坛帖子等中是否插入了外部图片；[远程]文件包含/读取；等等

猜你喜欢

转载自blog.csdn.net/change518/article/details/54286473

利用URL特性绕过域名白名单检测

绕过应用程序白名单技巧

文件上传漏洞之黑白名单绕过（一）

网络安全——文件上传白名单绕过

微信不死域名 360白名单域名

白名单

nginx的白名单

charles 白名单

nginx 白名单

windowsUAC白名单

临时白名单

centos--nginx域名访问的白名单配置

高德地图Javascript API设置域名白名单

nginx域名访问的白名单配置梳理

配置SSO白名单和配置URL Scheme汇总

MUI-ios添加白名单/配置URL schemes

360白名单安全域名_360绿色认证域名_360满分域名_照妖镜100分白名单域名

360白名单域名_360认证域名_360照妖镜100分域名

nginx设置目录白名单、ip白名单

linux ip白名单

iptables 配置白名单

IP黑白名单

内存白名单策略

黑白名单功能

mysql配置白名单

GMS申请白名单

白名单(Whitelisting) 技术

iOS 分享白名单

360白名单的作用

Naxsi 配置白名单

今日推荐

《美国对全球网络空间安全与发展的威胁和破坏》报告发布

火速冲上 GitHub 热榜 —— 开源编程语言、框架哪有这么可爱？

北京人形机器人创新中心发布全球首个纯电驱拟人奔跑的全尺寸人形机器人“天工”

LFOSSA 源来如此公开课 | 掌握云原生未来：CNCF 认证全面攻略与备考秘籍

周排行

循环神经网络（rnn）讲解

Tigao教程四：单独的关节运动

金蝶K3WISE15.0-注册套打教程

如何在Mac上配置Kubernetes

Android应用结束自身进程的方法

SpringMVC学习十三拦截器栈

中国驻洛杉矶总领馆举行新春招待会

HttpClient get post 发送

11 - three.js 笔记 - 绘制三维字体模型

Mysql递归获取某个父节点下面的所有子节点和子节点上的所有父节点

每日归档

2024-05-01(4)

2024-04-30(1)

2024-04-29(40)

2024-04-28(0)

2024-04-27(56)

2024-04-26(39)

2024-04-25(22)

2024-04-24(36)

2024-04-23(26)

2024-04-22(39)