当前位置:首页 >  站长 >  建站经验 >  正文

网站渗透测试之域名跳转劫持漏洞详细分析

 2019-05-24 11:56  来源:A5用户投稿  我来投稿   websafe的个人主页 撤稿纠错

  各种互联网项目,新手可操作,几乎都是0门槛

网站渗透测试是指在没有获得网站源代码以及服务器的情况下,模拟入侵者的攻击手法对网站进行漏洞检测,以及渗透测试,可以很好的对网站安全进行全面的安全检测,把安全做到最大化。在挖掘网站漏洞的时候我们发现很多网站存在域名跳转的情况,下面我们来详细的讲解一下。

域名劫持跳转,也可以叫做url重定向漏洞,简单来讲就是在原先的网址下,可以使用当前域名跳转到自己设定的劫持网址上去。URL跳转漏洞,大多数被攻击者用来进行钓鱼获取用户的账号密码,以及COOKIES等信息。我们SINE安全在对客户网站进行安全检测的时候,很多公司网站在登录接口,支付返回的页面,留言的页面,充值页面,设置银行卡等操作的页面都存在着域名跳转的漏洞。

我们来模拟下真实的渗透测试,本地搭建一个网站环境,域名地址//127.0.0.1/ 最简单的也是最容易通俗易懂的,我们在用户登录网站的时候,进行跳转劫持,将我们设计好的钓鱼页面伪造成跟客户网站一模一样的,然后代码是:http://127.0.0.1/login.php?user=&pswd=&url=http://我们构造好的钓鱼地址/websafe.php,我们把这个地址发给用户,让他们去登录即可。 如下图所示:

从上面的2个图中,可以看出URL跳转漏洞被利用的淋漓尽致,有些网站可能会对跳转的代码进行防护,但是我们可以利用免杀的特征码进行绕过。比如@号,问号?,#,斜杠绕过,反斜线绕过,https协议绕过,XSS跨站代码绕过。充值接口绕过以及跳转劫持漏洞,大部分的平台以及网商城系统都会有充值的页面在充值成功后都会进行跳转到商户的网站上去,在跳转的过程中,我们需要充值一部分金额才能测试出漏洞导致存在不存在,只要你勇敢的去尝试,渗透测试漏洞,都会有收获的,针对充值的漏洞我们前端时间测试成功过。如下图:

利用域名跳转漏洞,我们将可以获取到客户登录的cookies以及管理员的cookies值,使用管理员的cookies值进行登录网站后台,对网站上传webshell,进一步的对网站篡改,以及控制。

关于如何修复网站跳转漏洞,我们SINE安全公司建议在程序代码上进行漏洞修复,加强域名后输入的字符长度,以及URL地址后的http以及.com.cn等域名字符的限制与安全过滤,对以及特殊的字符以及参数值也加强过滤,比如:redirect,jump,redurl,等参数值的过滤。时刻提醒网站用户,不要随意的打开其他人发过来的网站链接地址,将网站安全做到最大化。

作者: websafe    /    文章:63篇

相关标签
网站安全
域名劫持

申请创业报道,分享创业好点子。点击此处,共同探讨创业新机遇!

相关文章

  • Laravel框架网站漏洞测试与修复

    Laravel框架是目前许多网站,APP运营者都在使用的一款开发框架,正因为使用的网站较多,许多攻击者都在不停的对该网站进行漏洞测试,我们SINE安全在对该套系统进行漏洞测试的时候,发现存在REC漏洞.主要是XSRF漏洞,下面我们来详细的分析漏洞,以及如何利用,漏洞修复等三个方面进行全面的记录.

    标签:
    网站漏洞修复
  • 如何制作网站?网站建设基本流程详解

    互联网时代,各行各业的企业为了适应时代的发展,纷纷从线下转移至线上来拓展自己的业务。若想让更多人了解自己的企业,拥有一个专属网站至关重要。网站不仅可以详细介绍企业信息,更重要的,能够获取不少潜在客户,有利于品牌宣传和推广。

  • 什么是外贸建站?建站前都有哪些必须了解的?

    网站建成后,得有足够的流量,你才可以实现变现盈利。不然你的外贸网站就只是个空架子,毫无用处。这就需要你做好网站推广,方法也有很多:可以建成网站后,多分享给亲朋好友和老顾客;

  • 外贸建站9大注意要点

    一个网站的好坏、排名高低,用户体验起着关键的作用。如果一个网站不去注重用户体验,那么这个网站就不会得到用户的青睐,即使推广的再多,流量转化率低,询盘少,最后并不会为企业带来更多的订单。

  • 外贸建站公司提醒:这些坑不要入

    在进出口贸易中,70%的采购商使用的是英语,但是仍然有30%的采购商通过母语获取信息。而大多数企业只会将网站展示为英语,而忽略了其它的小语种,这样也会流失掉一些商机。

  • 为什么我的虚拟主机建站访问速度慢

    虚拟主机毕竟便宜,本身性能有限制是正常情况,如果无法在主机上做突破,站长可以多优化自身网站,如不要放置过多图片与视频,尤其FLASH动画尽量避免。网站加载内容越少,速度自然会越快。

    标签:
    虚拟主机
  • 虚拟主机建站 这4点会导致访问速度慢

    一般来说,使用虚拟主机的网多为个人博客、企业网站、论坛等规模不大的网站,如果网站本身流量巨大,且有提供下载、视频等,那么单纯的虚拟主机是无法满足要求的,访问速度慢就需要更换为服务器了。

    标签:
    虚拟主机
  • 手机建站四大核心组成部分

    移动设备接入网络的方式通常有两种,自带移动网络或WIFI,而这种接入方式使得网站更容易入用户建立情感。

    标签:
    手机建站
  • 手机建站留住客户有妙招

    内容永远是最重要的一环,使用手机登入网站的用户大多会专注于一个问题,更希望得到一个问题详尽的答案。

    标签:
    手机建站
  • 三个小知识 教你全方位认识手机建站

    目前市面上的手机网站建设平台虽然数量很多,但质量高的就没多少了。所以大家一定要慎重选择,免得被坑。建站团队的技术水平、模板设计质量、模板数量、过往成功案例、系统稳定性和安全性、售后服务水平等,都是你需要好好调研的部分。有了趁手的建站工具,才能让新手顺利建站,不然就会白白浪费时间和精力,还做不好网站。

    标签:
    手机建站
榜单

热门排行

信息推荐

扫一扫关注最新创业资讯