小程序授权url重定向漏洞

乐悠777

已于 2023-07-16 18:00:30 修改

阅读量289

点赞数

CC 4.0 BY-SA版权

分类专栏：遇到的bug 文章标签： java 微信小程序

于 2023-07-16 17:50:48 首次发布

本文链接：https://blog.youkuaiyun.com/weixin_45979191/article/details/131752963

遇到的bug 专栏收录该内容

11 篇文章

订阅专栏

小程序授权url重定向漏洞

微信小程序授权时存在http://123.com, 
但实际跳转地址为http://123.com.baidu.com，
存在信息泄露风险。

解决方案：

1、不应从用户请求或填写的内容中获取跳转的目标URL，在nacos中配置固定跳转url地址。
2、对需要跳转的目标url进行比对，如果跳转的url不是所允许的，则禁止跳转。
3.进行URL时提示用户并显示跳转的目标URL地址并询问是否跳转。

在这里插入图片描述

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

乐悠777

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

27、Squid代理服务器：URL重定向与故障排除

vodka的博客

07-29

本文深入探讨了Squid代理服务器在URL重定向和常见故障排除方面的关键知识点。涵盖了Squid的URL重定向器（如SquidGuard、Squirm和Ad Zapper）的使用场景及相关测试题；列举了Squid运行过程中常见的问题及其解决方案，包括日志写入失败、主机名解析失败、交换目录问题等；介绍了如何查找占用端口的程序以及使用debug_options指令进行问题调试。通过本文，用户可以全面掌握Squid代理服务器的配置优化与问题排查技巧，保障网络服务稳定运行。

微信扫码登录的重定向地址redirect_uri如何改为本地

走向CTO的路上...

07-10

3459

在这种情况下，当微信扫码登录时，微信服务器将重定向到反向代理服务器的地址，反向代理服务器将请求转发到您的本地服务器进行处理，并将处理结果返回给微信服务器。为了解决这个问题，您可以考虑在已经认证过的域名上搭建一个本地的反向代理服务器，将请求转发到您本地的地址。微信扫码登录的重定向地址（redirect_uri）必须是公众平台（或开放平台）已经认证过的域名，否则将无法使用。如果您的公众平台域名数量已经用完，并且无法添加新的域名进行认证，那么您需要使用已经认证过的域名进行回调。

参与评论您还未登录，请先登录后发表或查看评论

微信小程序提示「不支持打开非业务域名」的几个常见原因和分析解决方案

热门推荐

上善若水-架构师编程乐园

03-04

2万+

1. 问题提出最近在微信小程序开发群里碰到不少哥们碰到这个问题： 微信小程序提示「不支持打开非业务域名」的问题，现象如下图： But，这里必须有个But，但是很多人都说自己已经在小程序的MP后台配置了业务域名，如下图： 2. 问题分析咱们自己看下提示信息：注意看是提示的域名是http://xxxx.xxx.com这种格式，而后台配置的是https 诉主也明确表示，他web-view里的src就是用https://xxxx.xxx.com的访问方式的，所以不应该出现http域名的提

微信小程序request获取重定向链接

eachanm的博客

09-03

2412

wx.request({ url: '', method:'get', header: { 'content-type': 'application/x-www-form-urlencoded', } }).onHeadersReceived(res => { console.log(res) if (res.header.Location) { res.

某小程序文件上传，URL重定向

rescure的博客

02-19

509

无心插柳柳成荫，有心栽花花不开就想找个通用，不小新点歪了，遂有此遇。网站太小，安全威胁太多，瞄了一眼还有sql，xss这种的，但是下班了，嘿嘿提桶跑路权重不够，提交之后不收。。但是搞不明白，网站现在给关了什么鬼。

【微信小程序】跳转重定向方法

俗人尘世

04-24

1927

通过构造js函数，在函数中调用该接口可实现页面跳转的效果。但该接口同样不能跳转tabbar页面，跳转后左上角有返回小箭头，点击可返回原本页面。保留当前页面，在js使用。跳转到 tabBar 页面，并关闭其他所有非 tabBar 页面；该方法只能跳转tabbar页面，不保留当前页面，跳转到tabBar页。但需要注意的是该方法不能跳转tabbar页面，保留当前页面，在wxml使用。关闭当前页面，跳转到应用内的某个页面(不能跳转tabbar页面)。关闭所有页面，打开到应用内的某个页面，左上角不会出现返回箭头。

确定白捡的漏洞都不要？揭秘小程序有手就能挖的高危漏洞。

2301_76168381的博客

01-24

2004

分享一个斯叔平时在渗透小程序的时候经常会碰到的一个漏洞–任意手机号登录。其实也就是任意用户登录，只不过这个登录方式是通过手机号进行登录。问题点通常在小程序的“微信快捷登录”的地方。Such as 这种

URL重定向学习（含pikachu）

qq_51558360的博客

01-25

745

什么是重定向 URL重定向（URL redirection，或称网址重定向或网域名称转址），是指当使用者浏览某个网址时，将他导向到另一个网址的技术。 重定向原理 HTTP 协议的重定向响应的状态码为 3xx 。浏览器在接收到重定向响应的时候，会采用该响应提供的新的 URL ，并立即进行加载；大多数情况下，除了会有一小部分性能损失之外，重定向操作对于用户来说是不可见的。 重定向的分类永久重定向 临时重定向 特殊重定向 URL重定向漏洞成因 1.写代码时没有考虑过任意URL跳转漏洞，或者根本不知道/不认为这是

EPiServer 404处理程序：增强的404页面控制与旧URL重定向

5. 处理部分URL和“完整”URL，能够支持通配符重定向，以适应不同场景的URL重定向需求。 6. 支持将“新URL”字段设置为完全限定的URL，实现跨站重定向。在描述中提到的“重要安全公告”指出了默认的404页面存在XSS...

【Chrome 80安全升级】：重定向漏洞全面防御指南

[【Chrome 80安全升级】：重定向漏洞全面防御指南](https://cdn.invicti.com/app/uploads/2022/05/24124856/x_frame_options_http_header_browsers_supported.png) 参考资源链接：[Google chrome 80版本Google ...

404handler:流行的EPiServer 404处理程序，除了允许重定向不再有效的旧url外，还可以更好地控制404页面

05-09

EPiServer的流行404处理程序，除了允许重定向不再有效的旧URL外，还可以更好地控制404页面。如果您要从另一个系统过渡到EPiServer并且不能保留URL结构，或计划对内容进行重大重组，则是完美的伴侣。特征 404处理...

微信小程序获取当前页面路径，登录成功后重定向回原页面

最新发布

coderYYY的博客

01-14

994

用户登录后通常会使用重定向回原先页面我们可以在封装request请求的时候将原页面路径作为参数携带到登录页，根据接口返回的登录状态，若是没有登录则跳转到登录页登录完成后可以根据这个参数重定向到回原页面，而不是主页，这样的用户体验更好。

微信开发之网页授权的坑

猿海无涯，码农无边

03-01

361

微信网页授权的域名只能有2个，项目大了以后注意提前规划。授权的域名不能带下划线。

微信网页开发遇到的问题

fangdong65的专栏

02-10

653

网页授权access_token和普通access_token区别 jssdk签名算法 chooseImage不显示图片

WebView重定向问题的解决方案

woshixiaoning的专栏

12-09

510

http://blog.youkuaiyun.com/qq_33689414/article/details/51111691

微信小程序设置http请求的步骤详解

pownew2010的专栏

11-07

2万+

http请求介绍 HTTP(HyperText Transfer Protocol)是一套计算机通过网络进行通信的规则。计算机专家设计出HTTP，使HTTP客户（如Web浏览器）能够从HTTP服务器(Web服务器)请求信息和服务，HTTP目前协议的版本是1.1.HTTP是一种无状态的协议，无状态是指Web浏览器和Web服务器之间不需要建立持久的连接，这意味着当一个客户端向服务器端发出请求，然

微信小程序-关于重定向问题

weixin_30832143的博客

12-01

1212

关于微信的重定向问题 wx.redirectTo（OBJECT）参数参数类型必填说明 url 串是需要跳转的应用内页面的路径成功功能否接口调用成功的回调函数失败功能否接口调用失败的回调函数完成功能否接口调用结束的回调函数（调用成功，失败都会执行）示例 wx....

微信小程序开发--路由切换，页面重定向

weixin_30782293的博客

09-17

285

这段时间开发了一个微信小程序，虽然小程序的导航API 官方文档写得很详细，但是在具体开发过程中还是会遇到很多不明白，或者一时转不过弯的地方。 1、页面切换传参，参数读取　　　1.1 wx.navigateTo(object) 　　功能：保留当前页面，跳转到应用内的某个页面，但是不能跳到 tabbar 页面。使用wx.navigateBack可以返回到当前页面。 wx.navig...

IIS重定向--微信小程序https访问nodejs搭建的服务器组成物联网平台

通然物联官方账号

08-29

2948

IIS重定向--微信小程序https访问nodejs搭建的服务器组成物联网平台

微信表情包小程序无授权版及网站后端源码