最新消息:点击查看大S的省钱秘笈

大网站的链接也不安全-跳转漏洞

网络相关 Slyar 141浏览 0评论

文章作者:姜南(Slyar) 文章来源:Slyar Home (www.slyar.com) 转载请注明,谢谢合作。

朋友告诉我说网易163被入侵了,还被挂了马,然后他就中毒了。。。我要过来地址一看差点没气死。。。这哪是网易被入侵啊,明显就是一个跳转漏洞么。。。

现在看一下这个链接。你点击一下试试,没事,不是病毒,会跳到我的网站

http://pro.163.com/event.ng/Type=click
&Redirect=http://%77%77%77%2E%73%6C%79%61%72%2E%63%6F%6D/

其实也不能怪他,这个地址不仔细看还真的以为是网易的URL,普通人现在都知道不要点击陌生网址,可是网易咱知道啊~这可是大网站,一定没问题。。。哎,这样想的后果是很严重的。。。都是网易惹得祸。。。现在我把这个地址后面的部分还原一下。

http://pro.163.com/event.ng/Type=click&Redirect=//www.slyar.com

看到了没,“Redirect=//www.slyar.com”,如果把我网站的链接换成木马地址,那么恭喜你,你被网易“黑”了。。。

这个看似是网易地址的链接就是传说中的跳转漏洞了,它可以将整个链接跳转到“Redirect=”后面的网址里,这样看前面你就会以为是网易的链接,认为它是安全的,而实际上。。。

类似的跳转漏洞还有baidu:

http://utility.baidu.com/traf/click.php?
url=http://%77%77%77%2E%73%6C%79%61%72%2E%63%6F%6D/

看似是百度的链接,还原后:

http://utility.baidu.com/traf/click.php?url=//www.slyar.com

现在这两个链接还没有被修补,估计以后会补好吧,不过到那时还会有新的跳转漏洞的。所以我希望大家在收到陌生人发来的链接时一定要看仔细,看清后面是不是有“Redirect”(重定向)或者“url”(地址)之类的东西,实在不行就不要点击,安全第一。

转载请注明:Slyar Home » 大网站的链接也不安全-跳转漏洞

发表我的评论
取消评论

表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

网友最新评论 (4)

  1. 赞。这样都可以。。
    Felix0218年前 (2008-09-12)回复
  2. 楼主你个大骗子....
    牧狼羊8年前 (2008-09-02)回复
    • 羊,这样是不对滴。。。
      Slyar8年前 (2008-09-02)回复
  3. 你出山了?怎么换名字了,再来一个 https://alexa.chinaz.com/Redirect.asp?url=
    剑心8年前 (2008-07-26)回复