360鹰眼-更智能的Web安全监控系统

产品描述:

下一代web漏洞扫描器,她是一款硬件,包含:最全面的"爬出"引擎,不再需要收集资产清单,不再需要指定扫描时间,同步发现新上线业务漏洞

适用对象:

企业

价格服务:

目录价19.8万起
我了解,我要试用
警告警告

任意网址跳转漏洞(路径)

WASC Threat Classification

发现时间:

2012-04-25

漏洞类型:

其他

所属建站程序:

其他

所属服务器类型:

通用

所属编程语言:

其他

描述:

目标存在任意网址跳转漏洞
恶意攻击者可以通过该漏洞,将用户访问的目标网站跳转到其它网站

危害:
该漏洞可能导致网站用户被钓鱼,造成不必要的损失,严重影响网站在用户中的形像!
解决方案:

1.如果只是希望在本域跳转,或者跳转后的链接较少且比较固定,那么对参数进行白名单限制。

比如:假设http://www.360.cn/check/www.attacker.com 存在漏洞,可以跳转到攻击者的钓鱼站点,那么需要对路径参数的值做白名单限制,

只能跳转到白名单规定域名下的某个页面,如,http://www.360.cn/check/so.360.cn

2.如果跳转后的链接会经常变化,且较多,建议做个中间跳转页,提示用户即将跳转到非本域链接。


如果你的网站服务器是Windows系统,建议使用"主机卫士"修复漏洞,点击下载
对该漏洞进行评论