日日操夜夜添-日日操影院-日日草夜夜操-日日干干-精品一区二区三区波多野结衣-精品一区二区三区高清免费不卡

公告:魔扣目錄網(wǎng)為廣大站長提供免費(fèi)收錄網(wǎng)站服務(wù),提交前請(qǐng)做好本站友鏈:【 網(wǎng)站目錄:http://www.ylptlb.cn 】, 免友鏈快審服務(wù)(50元/站),

點(diǎn)擊這里在線咨詢客服
新站提交
  • 網(wǎng)站:51998
  • 待審:31
  • 小程序:12
  • 文章:1030137
  • 會(huì)員:747

網(wǎng)站滲透測(cè)試是指在沒有獲得網(wǎng)站源代碼以及服務(wù)器的情況下,模擬入侵者的攻擊手法對(duì)網(wǎng)站進(jìn)行漏洞檢測(cè),以及滲透測(cè)試,可以很好的對(duì)網(wǎng)站安全進(jìn)行全面的安全檢測(cè),把安全做到最大化。在挖掘網(wǎng)站漏洞的時(shí)候我們發(fā)現(xiàn)很多網(wǎng)站存在域名跳轉(zhuǎn)的情況,下面我們來詳細(xì)的講解一下。

域名劫持跳轉(zhuǎn),也可以叫做url重定向漏洞,簡單來講就是在原先的網(wǎng)址下,可以使用當(dāng)前域名跳轉(zhuǎn)到自己設(shè)定的劫持網(wǎng)址上去。URL跳轉(zhuǎn)漏洞,大多數(shù)被攻擊者用來進(jìn)行釣魚獲取用戶的賬號(hào)密碼,以及COOKIES等信息。我們?cè)趯?duì)客戶網(wǎng)站進(jìn)行安全檢測(cè)的時(shí)候,很多公司網(wǎng)站在登錄接口,支付返回的頁面,留言的頁面,充值頁面,設(shè)置銀行卡等操作的頁面都存在著域名跳轉(zhuǎn)的漏洞。

我們來模擬下真實(shí)的滲透測(cè)試,本地搭建一個(gè)網(wǎng)站環(huán)境,域名地址http://127.0.0.1/ 最簡單的也是最容易通俗易懂的,我們?cè)谟脩舻卿浘W(wǎng)站的時(shí)候,進(jìn)行跳轉(zhuǎn)劫持,將我們?cè)O(shè)計(jì)好的釣魚頁面?zhèn)卧斐筛蛻艟W(wǎng)站一模一樣的,然后代碼是:http://127.0.0.1/login.php?user=&pswd=&url=http://我們構(gòu)造好的釣魚地址/websafe.php,我們把這個(gè)地址發(fā)給用戶,讓他們?nèi)サ卿浖纯伞?如下圖所示:

 

網(wǎng)站滲透測(cè)試 對(duì)網(wǎng)站域名跳轉(zhuǎn)劫持漏洞分析

 

 

網(wǎng)站滲透測(cè)試 對(duì)網(wǎng)站域名跳轉(zhuǎn)劫持漏洞分析

 

 

從上面的2個(gè)圖中,可以看出URL跳轉(zhuǎn)漏洞被利用的淋漓盡致,有些網(wǎng)站可能會(huì)對(duì)跳轉(zhuǎn)的代碼進(jìn)行防護(hù),但是我們可以利用免殺的特征碼進(jìn)行繞過。比如@號(hào),問號(hào)?,#,斜杠繞過,反斜線繞過,https協(xié)議繞過,XSS跨站代碼繞過。充值接口繞過以及跳轉(zhuǎn)劫持漏洞,大部分的平臺(tái)以及網(wǎng)商城系統(tǒng)都會(huì)有充值的頁面在充值成功后都會(huì)進(jìn)行跳轉(zhuǎn)到商戶的網(wǎng)站上去,在跳轉(zhuǎn)的過程中,我們需要充值一部分金額才能測(cè)試出漏洞導(dǎo)致存在不存在,只要你勇敢的去嘗試,滲透測(cè)試漏洞,都會(huì)有收獲的,針對(duì)充值的漏洞我們前端時(shí)間測(cè)試成功過。如下圖:

 

網(wǎng)站滲透測(cè)試 對(duì)網(wǎng)站域名跳轉(zhuǎn)劫持漏洞分析

 

 

利用域名跳轉(zhuǎn)漏洞,我們將可以獲取到客戶登錄的cookies以及管理員的cookies值,使用管理員的cookies值進(jìn)行登錄網(wǎng)站后臺(tái),對(duì)網(wǎng)站上傳webshell,進(jìn)一步的對(duì)網(wǎng)站篡改,以及控制。

關(guān)于如何修復(fù)網(wǎng)站跳轉(zhuǎn)漏洞,我們建議在程序代碼上進(jìn)行漏洞修復(fù),加強(qiáng)域名后輸入的字符長度,以及URL地址后的http以及.com.cn等域名字符的限制與安全過濾,對(duì)以及特殊的字符以及參數(shù)值也加強(qiáng)過濾,比如:redirect,jump,redurl,等參數(shù)值的過濾。時(shí)刻提醒網(wǎng)站用戶,不要隨意的打開其他人發(fā)過來的網(wǎng)站鏈接地址,將網(wǎng)站安全做到最大化。

分享到:
標(biāo)簽:滲透 網(wǎng)站
用戶無頭像

網(wǎng)友整理

注冊(cè)時(shí)間:

網(wǎng)站:5 個(gè)   小程序:0 個(gè)  文章:12 篇

  • 51998

    網(wǎng)站

  • 12

    小程序

  • 1030137

    文章

  • 747

    會(huì)員

趕快注冊(cè)賬號(hào),推廣您的網(wǎng)站吧!
最新入駐小程序

數(shù)獨(dú)大挑戰(zhàn)2018-06-03

數(shù)獨(dú)一種數(shù)學(xué)游戲,玩家需要根據(jù)9

答題星2018-06-03

您可以通過答題星輕松地創(chuàng)建試卷

全階人生考試2018-06-03

各種考試題,題庫,初中,高中,大學(xué)四六

運(yùn)動(dòng)步數(shù)有氧達(dá)人2018-06-03

記錄運(yùn)動(dòng)步數(shù),積累氧氣值。還可偷

每日養(yǎng)生app2018-06-03

每日養(yǎng)生,天天健康

體育訓(xùn)練成績?cè)u(píng)定2018-06-03

通用課目體育訓(xùn)練成績?cè)u(píng)定