客户端DOM开放重定向(Client_DOM_Code_Injection)漏洞解析

最新推荐文章于 2025-03-04 09:07:56 发布
原创 最新推荐文章于 2025-03-04 09:07:56 发布 · 465 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全性测试 #网络安全

本系列文章分享JavaScript语言常见的安全漏洞,漏洞的原理,可能导致的安全问题,以及如何防御与避免。本文分享的是Client_DOM_Code_Injection类。

漏洞描述

那些通过请求(如查询字符串和表单数据)指定重定向URL的Web程序可能会被篡改,而把用户重定向到外部的恶意URL。这种篡改就被称为开发重定向攻击。

风险

攻击者可以使用社交工程让受害者单击指向应用程序的链接,然后立即将用户重定向到另一个任意网站。用户可能会认为他们仍在原来的应用程序网站上。第二个网站可能令人反感、包含恶意软件,或者用于网络钓鱼(最常见)。

起因

应用程序将用户的浏览器重定向到用户请求中提供的 URL,而不会警告用户他们被重定向到网站外。攻击者可以使用社交工程让受害者点击指向应用程序的链接,并使用参数定义通过应用程序将用户浏览器重定向到另一个站点,并且用户可能不会发现被重定向。

通用建议

如何避免

1. 理想情况下,不要允许任意 URL 重定向。而要在服务器侧创建从用户提供的参数值到合法 URL 的映射。

2. 如果确实需要允许任意 URL:

o 对于应用程序站点内的 URL,先对用户提供的参数进行过滤和编码,然后通过在其前面添加应用程序站点域前缀将其用作相对 URL。

o 对于应用程序外的 URL(如有必要),使用中间免责声明页面明确警告用户他们将离开您的站点。

3. 防止开发重定向只需要判断重定向的链接是本地的链接或者是合法的链接即可。

o 如果登录链接和站点其他页面都在同一个域名,在ASP.MVC中可以用Url.IsLocalUrl(string url)来判断。

o 如果登录链接和站点其他页面不在同一个域名,如单点登录,则需要自己去实现判断的逻辑。

4. 源代码示例

CSharp

Avoid redirecting to arbitrary URLs, instead map the parameter to a list of static URLs.

Response.Redirect(getUrlById(targetUrlId));


Java

Avoid redirecting to arbitrary URLs, instead map the parameter to a list of static URLs.

Response.Redirect(getUrlById(targetUrlId));

后续会继续为大家介绍JavaScript语言中,其他类型的安全漏洞,期待你的关注。

(谢绝转载,更多内容可查看我的专栏)

【软件开发规范四】《应用系统安全编码规范》
商务合作|问题讨论|交流学习 请联系作者微信,加微信请务必注明来意,博客主页有联系方式
07-18 1395
为落实《信息安全策略》的要求,有效加强应用系统安全管理,提升应用系统安全编码能力,指导开发团队有效进行应用系统安全编码,特制定本规范。
pikachu漏洞平台靶场练习 总结 wp
Alexhirchi的博客
07-30 5052
每日学习 每日持续更新ing~ 之前一直都是在CTF刷题,感觉平常还是要打打靶场,学习一下实战环境啊~ 文章目录pikachu靶场Burt Force 暴力破解基于表单的暴力破解验证码绕过(on server)验证码绕过(on client)token防爆破?XSS(跨站脚本漏洞)CSRF(跨站请求伪造) pikachu靶场 Burt Force 暴力破解 关键点:连续性+自动化+字典 测试流程: (1)确认暴力破解的"可能性" (2)对字典的优化(根据注册要求去掉不必要的密码,验证存在的管理员账号直接.
dom-injection-source-code
05-15
DOM注入和遍历袖珍指南源代码 所有源代码。
Reflected DOM Injection
kezhen的专栏
04-09 1364
Reflected DOM Injection (RDI) is an evasive XSS technique which uses a third party website to construct and execute an attack. This technique can be implemented on websites that use a user-provide
点击劫持和DOM代码注入类漏洞攻击方式与防御措施|软件安全测试技术系列
最新发布
daopuyun的博客
03-04 934
攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。如果程序必须动态地解释代码,您可以通过以下方式将这种攻击获得成功的可能性降到最低:尽可能限制程序中动态执行的代码数量,将代码限制到基本编程语言的程序特定的和上下文特定的子集。的,那么,只有在对主进程具有完全权限的情况下才能执行这些操作。· 如果可能,应根据最小权限原则,隔离出所有动态执行,以使用单独的专用用户帐户,且该帐户只有动态执行使用的特定操作和文件的权限。
WebGoat题目解答(General~XSS)
weixin_33991727的博客
03-30 957
***General*************************************************************1、Http Spliting step1 cn%0aContent-length:%200%0a%0aHTTP/1.1%20200%20OK%0aContent-Type:%20text/html%0aConte...
Burpsuite 支持扫描漏洞列表
SHELLCODE_8BIT的博客
10-10 2382
burpsuite 支持扫描漏洞列表
红队专题-漏洞挖掘-代码审计
aming小老弟
03-11 1582
其中 Web A 为存在 CSRF 漏洞的网站,Web B 为攻击者构建的恶意网站,User C 为 Web A 网站的合法用户。用户 C 打开浏览器,访问受信任网站 A,输入用户名和密码请求登录网站A在用户信息通过验证后,网站 A 产生 Cookie 信息并返回给浏览器,此时用户登录网站 A 成功,可以正常发送请求到网站A用户未退出网站 A 之前,在同一浏览器中,打开一个 TAB 页访问网站 B网站 B 接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点 A。
pikachu靶场通关全流程
braty_的博客
06-08 2133
web安全新手靶场,,过程详细,,萌新易学
04 渗透测试基础
热门推荐
weixin_43234021的博客
01-04 1万+
渗透测试基础一 代码审计1 基础环境搭建(1) Web服务:WAMP+phpstudy(2) phpstudy2 HTML 表单 一 代码审计 1 基础环境搭建 (1) Web服务:WAMP+phpstudy (2) phpstudy 启动问题 端口正常开放 80 http 3306 mysql web根目录[C:\Users\dq\Documents\phpStudy-1-24\phpStudy\WWW] php 探针 phpinfo.php phpmyadmin Apache配置文件:[
Injection Attack
一小平民
02-01 3613
Injection Attacks The OWASP Top 10 lists Injection and Cross-Site Scripting (XSS) as the most common security risks to web applications. Indeed, they go hand in hand because XSS attacks are conting
checkmarx扫描常见问题修复方案
u011625492的专栏
10-14 1364
java web项目,源代码扫描常见安全问题修正
Burpsuite入门之target模块攻防中利用
sechelper的博客
02-11 351
用来收集目标站点的更多资产;探测一些自动加载的接口,内容等
【DVWA系列】十二、XSS(Stored) 存储型XSS(源码分析&漏洞利用)
Pluto.的博客
03-13 1169
文章目录DVWAXSS(Reflected) 反射型XSS一、Low 级别二、Medium 级别三、High 级别四、Impossible 级别 DVWA XSS(Reflected) 反射型XSS 一、Low 级别 对输入没有进行任何XSS过滤 输入 <script>alert('xss')</script>,js代码执行: 网页源代码,显示的数据是调用数据库里的数据: 源代码: <?php if( isset( $_POST[ 'btnSign' ] ) ) {
Fortify漏洞之Dynamic Code Evaluation: Code Injection(动态脚本注入)和 Password Management: Hardcoded Password(密...
arkqyo2595的博客
05-14 2015
  继续对Fortify的漏洞进行总结,本篇主要针对 Dynamic Code Evaluation: Code Injection(动态脚本注入)和Password Management: Hardcoded Password(密码硬编码)的漏洞进行总结,如下: 1.1、产生原因:   许多现代编程语言都允许动态解析源代码指令。这使得程序员可以执行基于用户输入的动态指令。...
爬虫与反爬虫技术分析
yib0y的博客
02-27 7706
科普: 什么是爬虫: 百度百科:网络爬虫(又被称为网页蜘蛛,网络机器人,在FOAF社区中间,更经常的称为网页追逐者),是一种按照一定的规则,自动地抓取万维网信息的程序或者脚本。另外一些不常使用的名字还有蚂蚁、自动索引、模拟程序或者蠕虫 什么是反爬虫: 百度百科:很多网站开始保护他们的数据,他们根据ip访问频率,浏览网页速度,账户登录,输入验证码,flash封装,ajax混淆,js加密,图片,cs...
代码注入漏洞
dichu8371的博客
10-12 898
代码注入 维基百科,自由的百科全书 跳到导航跳到搜索 代码注入(Code injection)是一种肇因于处理非法数据的计算机臭虫应用。代码注入可被攻击者用来导入代码到某特定的计算机程序,以改变程序的运行进程或目的。代码注入攻击的结果可以是灾难性的。例如说:代码注入可作为许多计算机蠕虫繁殖的温床。 目录 1概说及例子 2代码注入的用途 ...
掌握基础:js与HTML Dom操作实战练习
DOM把文档呈现为带有元素、属性和文本的节点树,通过节点间的层级关系,可以使用JavaScript对这些节点进行遍历、添加、修改和删除等操作。 #### 2. DOM树结构 HTML DOM树是由节点构成的,主要包括以下几种类型的...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值