场景:有时候在线看电影小说时,点击会临时重定向跳到垃圾页面。如果这个垃圾页面做得跟原本网站风格一致,要求输入账号密码,应该很多人会上当。如果攻击者在我们的产品中借用 URL 跳转漏洞来欺骗安全意识低的用户,是完全有可能得逞的。那么我们测试应该怎么做呢?
原理:网页重定向时,将目的 url 修改为攻击者构造的恶意页面,达到窃取用户信息的目的。
永久重定向:HTTP 响应码 301。原 url 不应再被使用。
临时重定向:HTTP 响应码 301。
如何测试
黑盒测试:修改参数中合法的 URL 为非法 URL,然后查看是否能够正常跳转或者响应是否包含了任意的构造 URL文章源自玩技e族-https://www.playezu.com/187672.html
显卡性能测试软件文章源自玩技e族-https://www.playezu.com/187672.html 文章源自玩技e族-https://www.playezu.com/187672.html
评论