那些通過請求(如查詢字串和表單資料)指定重定向url的web程式可能會被篡改,而把使用者重定向到外部的惡意url。這種篡改就被稱為開發重定向攻擊。
假設有乙個正規**還有乙個惡意**或釣魚**注意:這裡少了個n)。
1. 開啟鏈結後進入了登入介面,小白輸入了自己的帳號名密碼進行登入。
2. 登入成功後重定向到了惡意**。
3. 惡意**是乙個仿造正規**的登入頁面,並在上面提示使用者名稱或密碼錯誤。
4. 小白按照提示重新輸入了帳號密碼資訊。
5. 惡意**儲存了客戶的使用者名稱密碼,然後重定向會正規**。
6. 小白繼續平時正常的操作。
防止開發重定向只需要判斷重定向的鏈結是本地的鏈結或者是合法的鏈結即可。
1. 如果登入鏈結和站點其他頁面都在同乙個網域名稱,在asp.mvc中可以用url.islocalurl(string url)來判斷。
2. 如果登入鏈結和站點其他頁面不在同乙個網域名稱,如單點登入,則需要自己去實現判斷的邏輯。
}1. 惡意使用者在正規**下掛了跳轉到惡意**的指令碼。
2. 普通使用者訪問到含惡意指令碼的頁面會跳轉到惡意**。
3. 惡意**是乙個仿造正規**的登入頁面,並在上面提示需要重新登入。
4. 小白按照提示重新輸入了帳號密碼資訊。
5. 惡意**儲存了客戶的使用者名稱密碼,然後重定向會正規**。
注:這種方式每次訪問含惡意指令碼的頁面都會跳轉到惡意**(提示重新登入),而開放重定向只會提示使用者名稱密碼錯誤一次,相對而言,開放重定向的無感知效果要好一點。
node 重定向 express 重定向
服務端重定向對非同步請求無效 如何通過伺服器讓客戶端重定向 1.狀態碼設定為302 臨時重定向,301永久重定向 瀏覽器會記住 當再次請求相同位址的時候,瀏覽器不會重新請求該位址,會直接跳轉上一次請求該位址時的重定向位址 res.statuscode 2.在響應頭中通過 location 告訴客戶端...
輸入重定向,正確輸出重定向,錯誤輸出重定向
一 標準輸入 stdin a.輸入重定向 標準輸入 作用 將原先鍵盤輸入的內容改由檔案內容代替 root wenwen cat test.txt asdas asdas asdas 按crtl d 退出 將network內容匯入到test.txt中去 root wenwen cat test.txt...
icmp重定向實驗ensp icmp重定向實驗
一 實驗拓撲圖 二 實驗要求 三 實驗步驟配置 1 配置r0 r1 r2 r3的ip位址 r0 int f0 0 ip add 10.1.1.1 255.0.0.0 no sh r1 int f0 0 ip add 10.2.2.2 255.0.0.0 no sh r2 int f0 0 ip ad...