該欄目為中科天齊全新規劃的悟空雲課堂,每週五下午18:00準時上線,旨在科普軟體安全相關知識,助力企業有效防範軟體安全漏洞,提公升網路安全防護能力。
本期主題為url重定向(跳轉)漏洞的相關介紹。url重定向:
url重定向(urlredirection)漏洞,又稱跳轉漏洞,指的是網路應用程式接受使用者可控的輸入作為到外部站點的鏈結,然後在重定向中使用該鏈結。該安全漏洞給網路釣魚攻擊提供了極大的便利。
漏洞的構成條件:
1、url從使用者可控制的輸入中提取;
2、該url未經驗證,就被用於網路應用程式的重定向位址。
url重定向的常見後果:
使用者的訪問可能會被重定向到不可靠的網頁。不可靠網頁中可能存在惡意軟體並可能攻陷使用者電腦。一旦使用者電腦被攻陷,使用者就暴露在大量各種網路危機中。而且使用者和網路伺服器的互動也可能被攻陷,導致個人身份,密碼等關鍵敏感資訊的洩漏。
url重定向的一些防範和修補建議
1、從實現角度,進行輸入驗證:對輸入的資訊進行驗證。比如說使用已知的有效輸入驗證機制,或是制定嚴格的說明來規範輸入的資訊等等。對於不符合規範的輸入,或者是拒絕接受,或者對輸入進行轉換淨化,讓它符合規範要求。
2、從體系架構和設計上防範該安全漏洞,並儘量減少暴露的攻擊面。
url重定向的樣例:
}}拓展閱讀:
請使用瀏覽器開啟)
中科天齊公司是在中科院計算技術研究所的大力推動下,以中科院計算所國際領先的自主研究成果「軟體**漏洞檢測修復平台(wukong悟空)」為基礎組建的高新技術企業。
第二期題目
1.請寫乙個擴充套件string的類mystring,加入乙個println 方法,你覺得用繼承string類的方法呢,然後加乙個println 方法簡單?還是在mystring內部建立乙個string物件進行擴充套件?2.類a的預設建構函式中,有這麼一句,system.out.println a ...
學習報告第二期
學習報告2020 7 30 學習報告 第二期 時間週期 7月1日 7月30日 姓名 專業 徐斌 電子資訊專碩 一.內容 1 基本掌握gpio的埠位配置和輸出模式位 2 通過跑馬燈庫函式實驗初步掌握1.使能io口時鐘 不同的io,呼叫的時鐘使能函式不一樣 2.初始化io口模式。呼叫gpio init函...
第二期的專案答辯
今天,累了一天,終於把專案弄完了。很悲劇,整合完專案,才發現有好幾個功能都沒有實現,幸虧現在是練習,是考試,不是真正的工程。不然的話我就慘了。這次專案又讓我學會很多。如 1 作為乙個團隊的領導,要清楚每個人的能力,根據個人能力去安排任務,而不是大包大攬的分區域。2 在需求分析階段一定要多次向客戶求真...