悟空云課堂丨代碼安全第二期：URL重定向（跳轉(zhuǎn)）漏洞缺陷

該欄目為中科天齊全新規(guī)劃的悟空云課堂，旨在科普軟件安全相關(guān)知識，助力企業(yè)有效防范軟件安全漏洞，提升網(wǎng)絡(luò)安全防護能力。本期主題為URL重定向（跳轉(zhuǎn)）漏洞的相關(guān)介紹。

一、什么是URL重定向：

URL重定向（URLredirection）漏洞，又稱跳轉(zhuǎn)漏洞，指的是網(wǎng)絡(luò)應(yīng)用程序接受用戶可控的輸入作為到外部站點的鏈接，然后在重定向中使用該鏈接。該安全漏洞給網(wǎng)絡(luò)釣魚攻擊提供了極大的便利。

二、漏洞的構(gòu)成條件：

1、URL從用戶可控制的輸入中提取；

2、該URL未經(jīng)驗證，就被用于網(wǎng)絡(luò)應(yīng)用程序的重定向地址。

三、URL重定向的常見后果：

關(guān)鍵詞：繞過保護機制；獲取權(quán)限或假冒身份

用戶的訪問可能會被重定向到不可靠的網(wǎng)頁。不可靠網(wǎng)頁中可能存在惡意軟件并可能攻陷用戶電腦。一旦用戶電腦被攻陷，用戶就暴露在大量各種網(wǎng)絡(luò)危機中。而且用戶和網(wǎng)絡(luò)服務(wù)器的交互也可能被攻陷，導(dǎo)致個人身份，密碼等關(guān)鍵敏感信息的泄漏。

四、URL重定向的一些防范和修補建議

1、從實現(xiàn)角度，進行輸入驗證：對輸入的信息進行驗證。比如說使用已知的有效輸入驗證機制，或是制定嚴(yán)格的說明來規(guī)范輸入的信息等等。對于不符合規(guī)范的輸入，或者是拒絕接受，或者對輸入進行轉(zhuǎn)換凈化，讓它符合規(guī)范要求。

2、從體系架構(gòu)和設(shè)計上防范該安全漏洞，并盡量減少暴露的攻擊面。

五、URL重定向的樣例：