关于开放性跳转的一个安全小问题
2016-03-18 17:42
232 查看
今天某广告联盟说来自我们网站的流量有不良的流量,由于流量要跳转到广告联盟进行统计,广告联盟在跳到相应的网站。
为了提高不良网站搜索排名性,所以攻击者就利用跳转形式的链接进行seo优化。由于我们使用的广告
联盟存在开放性url跳转,且广告联盟统计流量的方式是校验这个链点中
http://www.xxxxx.com/gotourl.asp?id=2381&url=http://www.baidu.com的id参数,由于id参数是我们的,但url是别人进行伪造的
,所以我们就无辜躺枪了。
下面由于url的跳转是开放的,且很难去做校验,所以被攻击者有机可乘。
http://www.xxxxx.com/gotourl.asp?id=2381&url=http://www.baidu.com http://www.ad110.com/gotourl.asp?id=2391&url=http://www.baidu.com http://jump.qt.qq.com/php/jump/check_url/?url=http://www.baidu.com http://dict.cn/goto/url.php?xref=pc-win8&url=http://www.baidu.com http://user.56.com/api/jumpQf.php?ourl=http://www.baidu.com
下面就是一个www.ad100.com网站的例子。
安全建议:对开放性跳转的url进行加密,防止伪造url链点。
为了提高不良网站搜索排名性,所以攻击者就利用跳转形式的链接进行seo优化。由于我们使用的广告
联盟存在开放性url跳转,且广告联盟统计流量的方式是校验这个链点中
http://www.xxxxx.com/gotourl.asp?id=2381&url=http://www.baidu.com的id参数,由于id参数是我们的,但url是别人进行伪造的
,所以我们就无辜躺枪了。
下面由于url的跳转是开放的,且很难去做校验,所以被攻击者有机可乘。
http://www.xxxxx.com/gotourl.asp?id=2381&url=http://www.baidu.com http://www.ad110.com/gotourl.asp?id=2391&url=http://www.baidu.com http://jump.qt.qq.com/php/jump/check_url/?url=http://www.baidu.com http://dict.cn/goto/url.php?xref=pc-win8&url=http://www.baidu.com http://user.56.com/api/jumpQf.php?ourl=http://www.baidu.com
下面就是一个www.ad100.com网站的例子。
安全建议:对开放性跳转的url进行加密,防止伪造url链点。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 文章标题
- 使用自定义Adapter的ListView优化方式
- Handler
- 深度卷积网络CNN与图像语义分割
- Java并发 线程池
- day⑧:socket 和socketserver
- Git配置和一些常用命令
- C++虚继承(七) --- 虚继承对基类构造函数调用顺序的影响
- enum枚举类型详解
- HAproxy指南之haproxy重定向应用(案例篇)
- Spring MVC里面的预防 SQL 注入
- 静态链表的实现
- Oracle 数据导出工具 Spool
- java读写excel文件
- 关于 ORA - 01861 文字与格式字符串不匹配问题(oracle存储过程)
- Android中为什么需要服务?
- 浅谈ios设计之使用表格UITableVIew设计通讯录的方法
- JQuery_HighCharts 图像导出 以及打印
- centos下网络配置方法(网关、dns、ip地址配置)
- 手链样式 --蓝桥杯