【FreeBuf字幕组】Web安全漏洞系列:Open Redirect(开放式重定向跳转)

2019-06-18 47811人围观 ,发现 2 个不明物体 漏洞视频

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

内容介绍

Open Redirect(开放式重定向跳转),利用这种重定向功能,Web应用能够引导用户访问同一应用程序的不同网页或其它的外部站点。Web应用可利用重定向来帮助进行站点导航,或对用户登录退出行为进行引导。当Web应用将客户端重定向到攻击者可以控制的任意URL站点时,就会发生Open Redirect漏洞。

攻击者可以利用 Open Redirect 漏洞欺骗用户访问某个可信赖站点的URL,并将他们重定向到攻击者控制的恶意网站。之后,攻击者通过对URL进行编码,迷惑用户,使用户难以意识到重定向的恶意目标。因此,Open Redirect 通常结合网络钓鱼攻击手段(Phishing)来骗取目标用户的相关密码凭证,当然,攻击者也能通过这种方式形成对目标服务端的请求伪造(SSRF)漏洞,获取远程服务端的敏感数据。

课程中给出的实例是,波兰小镇安全研究人员 Tomasz Bojarski 利用两个开放重定向综合形成了对谷歌子域名的XSS漏洞实现,具体可参考:

https://sites.google.com/site/bughunteruniversity/best-reports/openredirectsthatmatter

观看视频

看不到视频点这里

*本课程翻译自Youtube精选系列教程,喜欢的点一波关注(每周更新)!

*本文作者:willhuang,FreeBuf视频组荣誉出品,转载须注明来自FreeBuf.COM

发表评论

已有 2 条评论

取消
Loading...

特别推荐

推荐关注

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php