URL绕过学习

其他 2018-06-05 11:42:46 阅读次数: 0

  web应用程序需要跳转到第三方页面或者内部页面,如果跳转目标超过应用预期,就称为url跳转漏洞

危害:
钓鱼页面欺诈
绕过白名单限制

利用方式:
1.直接改参:
预期:http://a.com/?r=http://good.com
漏洞:http://a.com/?r=http://hack.com
2.?绕过
预期:http://a.com/?r=http://good.com
漏洞:http://a.com/?r=http://hack.com?good.com
3./绕过
预期:http://a.com/?r=http://good.com
漏洞:http://a.com/?r=http://hack.com/good.com
4.\绕过
预期:http://a.com/?r=http://good.com
漏洞:http://a.com/?r=http://hack.com\good.com
5.\\绕过
预期:http://a.com/?r=http://good.com
漏洞:http://a.com/?r=http://hack.com\\good.com
6.\.绕过
预期:http://a.com/?r=http://good.com
漏洞:http://a.com/?r=http://hack.com\.good.com
7.@绕过
预期:http://a.com/?r=http://good.com
漏洞:http://a.com/?r=http://[email protected]
8.伪造子域名绕过
预期:http://a.com/?r=http://good.com
漏洞:http://a.com/?r=http://good.com.hack.com
9.白名单(如允许百度)
预期:http://a.com/?r=http://good.com
漏洞:http://a.com/?r=https://www.baidu.com/link?url=e8Foh8i66su7HZ1_PVR-PNph5l8gpbkY4QjSB-rVHqO&wd=&eqid=82d14c0700033ecc000000055b0f97ca
11.#绕过
预期:http://a.com/?r=http://good.com
漏洞:http://a.com/?r=http://good.com#hack.com

猜你喜欢

转载自www.cnblogs.com/mkdd/p/9138836.html
今日推荐
技术解析 GPT-4o:即时语音交互的突破与 GenAI 发展策略
开源大模型与闭源大模型
微信小程序授权登录获取用户的openid
亿级流量系统架构设计与实战
人工智能时代的程序设计教学与课程设计
纽交所技术问题致伯克希尔 (BRK.A) 显示跌近 100%
探索 api.maynor1024.live:一站式 AI 服务平台
AI一键去衣技术:窥见深度学习在图像处理领域的革命(最后有彩蛋)
艾体宝案例 | 使用Redis和Spring Ai构建rag应用程序
Apple M1 vs 高通8Gen2 vs Apple A12Z各方面比较
【升职加薪必备架构图】Springboot学习路线汇总_springboot四层架构流程图
与Apollo共创生态:Apollo7周年大会自动驾驶生态利剑出鞘
周排行
事务隔离级及脏读、幻读和不可重复读
rtos:zephyr同步信号量
把对象转换为JSON格式的数据
iOS Dev (56) iTunes Store 销售日报更新时间
Failed to start mongod.service: Unit not found;mongodb in unbuntu
Upgrading PHP on CentOS 6.5 (Final)
(四)王道机试指南___排版问题
TensorFlow之手写体识别
xcode xib报错 Safe Area Layout Guide Before IOS 9.0
【LeetCode】76. Minimum Window Substring(C++)
每日归档
更多
2024-06-05(0)
2024-06-04(10)
2024-06-03(52)
2024-06-02(4)
2024-06-01(60)
2024-05-31(47)
2024-05-30(4)
2024-05-29(65)
2024-05-28(2)
2024-05-27(56)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022