URL重定向滥用

漏洞级别:  高危中高危

参考:OWASP:OWASP Category    WASC:URL重定向滥用    CVE:不适用    CWE:601

危害:

Web 应用程序执行指向外部站点的重定向。攻击者可能会使用 Web 服务器攻击其他站点,这将增加他(或她)的匿名性。

描述:

网络钓鱼是一种社会工程技巧,其中攻击者伪装成受害者可能会与其进行业务往来的合法实体,以便提示用户透露某些机密信息(往往是认证凭证),而攻击者以后可以利用这些信息。网络钓鱼在本质上是一种信息收集形式,或者说是对信息的“渔猎”。
某个 HTTP 参数被发现保存有 URL 值,并导致 Web 应用程序将请求重定向至指定的 URL。通过将 URL 值修改为指向恶意站点,攻击者可以成功发起网络钓鱼诈骗并窃取用户凭证。
由于修改的链接中的服务器名称与原始站点完全相同,这样攻击者的网络钓鱼企图就披上了更容易让人轻信的外衣。

解决方法:

如下一些方法能够防止攻击:
1.在网页代码中需要对用户输入的数据进行严格过滤。
2.部署Web应用防火墙

备注:

暂无相关信息