关于开放性跳转的一个安全小问题

最新推荐文章于 2022-07-12 09:39:10 发布
最新推荐文章于 2022-07-12 09:39:10 发布
阅读量712 收藏
点赞数
分类专栏: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/nextdoor6/article/details/50925338
版权


今天某广告联盟说来自我们网站的流量有不良的流量,由于流量要跳转到广告联盟进行统计,广告联盟在跳到相应的网站。

为了提高不良网站搜索排名性,所以攻击者就利用跳转形式的链接进行seo优化。由于我们使用的广告

联盟存在开放性url跳转,且广告联盟统计流量的方式是校验这个链点中

http://www.xxxxx.com/gotourl.asp?id=2381&url=http://www.baidu.com的id参数,由于id参数是我们的,但url是别人进行伪造的

,所以我们就无辜躺枪了。

下面由于url的跳转是开放的,且很难去做校验,所以被攻击者有机可乘。

http://www.xxxxx.com/gotourl.asp?id=2381&url=http://www.baidu.com


http://www.ad110.com/gotourl.asp?id=2391&url=http://www.baidu.com

http://jump.qt.qq.com/php/jump/check_url/?url=http://www.baidu.com

http://dict.cn/goto/url.php?xref=pc-win8&url=http://www.baidu.com

http://user.56.com/api/jumpQf.php?ourl=http://www.baidu.com

下面就是一个www.ad100.com网站的例子。



安全建议:对开放性跳转的url进行加密,防止伪造url链点。

开放式API安全防护的七大原则
架构精进之路
01-19 2万+
我是架构精进之路,点击上方“关注”,坚持每天为你分享技术干货,私信我回复“01”,送你一份程序员成长进阶大礼包。 在我们日常工作程序开发过程中,难免会涉及与第三方系统进行数据的交互与...
微信公众号跳转小程序 wx-open-launch-weapp (最全指南及坑)
热门推荐
grootbaby
04-30 4万+
微信公众号使用 wx-open-launch-weapp 开放标签跳转小程序 注意事项 微信开放标签有最低的微信版本要求,以及最低的系统版本要求。 微信版本要求为:7.0.12及以上 系统版本要求为:iOS 10.3及以上、Android 5.0及以上 使用步骤 1. 绑定域名 微信安全域名只能修改绑定3次/每月 登录微信公众平台进入“公众号设置”的“功能设置”里填写“JS接口安全域名”。 2. 引入JS文件 在需要调用JS接口的页面引入如下JS文件:http://res.wx.qq.co
图片地址跳转
weixin_30244681的博客
12-21 247
//imgslist.php《img src="<?=$reg->img['path']?>" /》 public function actionImgsList(){ $reg->img['path'] = '/index.php?r=img/getImg&id='.$pid; $this->render('imgslist...
你知道url中的特殊符号含义么
angjiu8534的博客
08-22 179
1.# #代表网页中的一个位置。其右面的字符,就是该位置的标识符。比如,http://www.example.com/index.html#print就代表网页index.html的print位置。浏览器读取这个URL后,会自动将print位置滚动至可视区域。为网页位置指定标识符,有两个方法。一是使用锚点,比如<a name="print"></a>,二是使用i...
网站检测 无操作后的自动跳转
憨态可掬的博客
04-03 3296
网站检测 无操作后自动处理 最近,遇到了一个需求,是进行网站检测 无操作后的多长时间进行跳转处理。经过我从网上找了一些资料 ,进行实践后 。目前先把可以运行的代码贴出来 。整理了一下。 示例如下 可自己进行配置处理 代码展示 jQuery实现 <script> // 在公用文件common.js中,声明一下代码: var lastTime = new Date().ge...
安全检测GO内外链跳转页面html源码
软希网分享源码的博客
04-10 2732
<!DOCTYPE html> <html lang="zh-CN"><head><meta charset="utf-8"> <meta http-equiv="X-UA-Compatible" content="IE=Edge,chrome=1"> <meta name="robots" content="noindex, nofollow"> <meta name="viewport" content="...
EmlogPro站外超链接跳转安全提示插件源码资源下载整理.zip
08-20
站外超链接跳转安全提示插件是针对EmlogPro设计的一款增强安全性的小工具,主要目的是保护用户免受潜在的恶意链接威胁。在互联网上,不安全的链接可能会导致用户被重定向到钓鱼网站或者下载携带病毒的文件,对用户的...
微信H5与小程序支付与环境跳转
02-28
同时,对于H5与小程序的跳转,也需要在多种环境下验证其兼容性和流畅度。 8. **用户体验优化**: 考虑到用户体验,支付过程应尽可能简洁,减少用户操作步骤。同时,跳转过程要平滑,避免用户感到卡顿或困惑。 9. ...
微信小程序实现跳转领取美团外卖红包、饿了么红包
03-15
需要注意的是,由于微信小程序的安全策略,直接跳转到外部应用可能需要用户的授权,所以可能需要在跳转前进行权限检查。同时,由于微信小程序对第三方链接的限制,确保链接遵循微信开放平台的相关规定,以免跳转失败...
网站安全性检测
07-12 2148
1、任务描述 这个任务最初是由XXXXX进行描述的:XX公司经过这几年的建设,在公司内部建立了以.net技术为基础的办公网络,办公网络可能在使用上最近考虑要在集团推广,会向公网暴漏,因此XX公司考虑需要看看其安全性到什么程度,以便决定是否需要加强安全性,再适合的时候再向公网开放。XX公司已向IBM等公司进行了前期咨询,IBM公司报价这一整套安全性检测做下来需要上千万的费用,............
goto 优势以及怎么使用
weixin_34038652的博客
04-18 174
标志: (标志可以在本函数内的任何位置,但是必须在本函数内); 优势: goto语句用用于错误处理,比如跳出两重循环嵌套使用goto 比较方便,因为 break 只能跳出一重循环; 注意:所有带有goto语句的程序都可以改为不带goto语句的程序,大量使用goto会增加程序的维护成本;应尽量减少goto语句的使用; 转载于:https://...
GOTO跳转标签
书写人生
08-23 2037
print 'guangzhou'  IF(1=1)     begin     GOTO calculate_salary     print 'Go on' --条件成立则跳过此句。     end   else     print '222' --条件成立则跳过此句。 print '8888'   calculate_salary:    
php 跳转到指定url_URL跳转
weixin_39587246的博客
12-06 3970
自网络熏陶,便一发不可收拾;不忘初心,方得始终。---20200601 URL跳转漏洞通常被攻击者用来进行钓鱼获取用户的账号密码,以及COOKIES等信息。比如网站在登录接口,支付交易返回的页面,留言的页面,充值页面,设置银行卡等操作的页面都存在着域名跳转的漏洞。比如下面的操作如图所示,通过301重...
跳转外链 带header_URL跳转(开放重定向)挖掘技巧及实战案例全汇总
weixin_28737073的博客
01-25 5210
1、概念: 开放重定向(Open Redirect),也叫URL跳转漏洞,是指服务端未对传入的跳转url变量进行检查和控制,导致诱导用户跳转到恶意网站,由于是从可信的站点跳转出去的,用户会比较信任。URL形如:https://example.com/login?return=https://mysite.com/,后端代码形如:response.sendRedirect(request...
好看的网站安全跳转单页源码
lisihui12345的博客
03-15 3999
介绍: 适合用来做防红系统跳转页面和引导跳转页面。 网盘下载地址: https://zijiewangpan.com/LXFleLxchf6 图片:
HTTP主要安全漏洞和解决思路
csolo的博客
01-09 1万+
     本博客整理自图解HTTP和众多网络文章,对HTTP完全漏洞进行梳理,并介绍了java解决方案。       简单的HTTP协议本身并不存在安全问题,因此协议本身几乎不会成为攻击的对象,但是HTTP应用的服务端和客户端以及web应用资源是主要的攻击目标。      虽然HTTP协议本身不在安全问题,但是因为协议本身不包含会话管理、加密处理的要求,因此使用HTTP开发的应用和服务器容...
Html之图片标签自动跳转
Quincy.Coder的博客
07-10 2708
1.引入jquery <script src="https://cdn.bootcss.com/jquery/3.4.1/jquery.min.js"></script> 2.图片代码 <a href="xxx.com" target="_parent"><img id="sp"></img></a> 3.自动点击 $(f...
原生微信小程序跳转到另外一个小程序代码
最新发布
09-11
在原生微信小程序中,由于小程序间的独立性和安全性限制,并不像传统应用可以直接跳转到另一个小程序。如果你想实现从A小程序到B小程序的功能,通常需要用户通过微信提供的统一下单服务(JS-SDK),引导用户手动扫描二维码或者点击链接进入。这个过程不是直接的页面跳转,而是用户的主动操作。 以下是基本的步骤: 1. **在A小程序获取code**: 用户在A小程序触发动作时,调用微信的`wx.navigateToMiniProgram`方法,它会返回一个code给开发者。 ```javascript wx.navigateToMiniProgram({ appId: 'B小程序的AppID', // B小程序的AppID path: '/pages/path/to/page', // B小程序的目标页面路径 success: function(res) { // 获取到code后做进一步处理 const code = res.code; // ...其他操作... }, }); ``` 2. **提交code请求授权**:使用获取到的code,向微信服务器发起请求,换取临时票据(ticket)。 3. **分享链接或展示二维码**:利用得到的ticket生成小程序的链接或者二维码,让用户自行打开。 4. **用户在B小程序登录验证**:B小程序收到code后,通过微信提供的工具解码并验证,用户成功登录。 记住,这种跳转需要用户主动配合完成,而且涉及到的数据传递和用户权限验证,需要谨慎处理。同时,B小程序需要配置相应的开放平台权限,才能接收来自A小程序的请求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值