360鹰眼-更智能的Web安全监控系统

产品描述:

下一代web漏洞扫描器,她是一款硬件,包含:最全面的"爬出"引擎,不再需要收集资产清单,不再需要指定扫描时间,同步发现新上线业务漏洞

适用对象:

企业

价格服务:

目录价19.8万起
我了解,我要试用
严重严重

任意网址跳转漏洞

WASC Threat Classification

发现时间:

2012-04-25

漏洞类型:

所属建站程序:

所属服务器类型:

所属编程语言:

描述:

目标存在任意网址跳转漏洞。用户访问目标网站时可能会跳转到其他网站。

验证方式:打开目标页面验证是否跳转到其他页面。

示例:(跳转到一个不存在的伪造页面http://oxoxoxoxoxoxox.com


危害:

攻击者可以利用该漏洞传播基于目标网站的钓鱼链接,攻击目标网站的用户,严重影响网站在用户中的形象。

解决方案:

1.如果只是希望在本域跳转,或者跳转后的链接较少且比较固定,那么对参数进行白名单限制。

比如:假设http://webscan.360.cn/?u=http://www.attacker.com 存在漏洞,可以跳转到攻击者的钓鱼页面,那么需要对参数 u 的值做白名单限制,

只能跳转到白名单规定域名下的某个页面,如,http://webscan.360.cn/?u=http://so.360.cn

2.如果跳转后的链接会经常变化,且较多,建议做个中间跳转页,提示用户即将跳转到非本域链接,请参考:http://bbs.webscan.360.cn/forum.php?mod=viewthread&tid=1809

如果你的网站服务器是Windows系统,建议使用"主机卫士"修复漏洞,点击下载
对该漏洞进行评论