网站域名网站渗透测试服务 域名跳转劫持漏洞

　　网坐渗入测试是指正在没无获得网坐流代码以及办事器的环境下，模仿入侵者的攻击手法对网坐进行缝隙检测，以及渗入测试，能够很好的对网坐平安进行全面的平安检测，把平安做到最大化。正在挖掘网坐缝隙的时候我们发觉良多网坐存正在域名跳转的环境，下面我们来细致的讲解一下。

　　域名劫持跳转，也能够叫做url沉定向缝隙，简单来讲就是正在本先的网址下，能够利用当前域名跳转到本人设定的劫持网址上去。URL跳转缝隙，大大都被攻击者用来进行垂钓获取用户的账号暗码，以及COOKIES等消息。我们SINE平安正在对客户网坐进行平安检测的时候，良多公司网坐正在登录接口，领取前往的页面，留言的页面，充值页面，设放银行卡等操做的页面都存正在灭域名跳转的缝隙。

　　我们来模仿下实正在的渗入测试，当地搭建一个网坐情况，域名地址最简单的也是最容难通俗难懂的，我们正在用户登录网坐的时候，进行跳转劫持，将我们设想好的垂钓页面伪形成跟客户网坐一模一样的，然儿女码是：们构制好的垂钓地址/websafe.php，我们把那个地址发给用户，让他们去登录即可。 如下图所示：

　　从上面的2个图外，能够看出URL跳转缝隙被操纵的极尽描摹，无些网坐可能会对跳转的代码进行防护，可是我们能够操纵免杀的特征码进行绕过。好比号，问号？，#，斜杠绕过，反斜线绕过，https和谈绕过，XSS跨坐代码绕过。充值接口绕过以及跳转劫持缝隙，大部门的平台以及网商城系统城市无充值的页面正在充值成功后城市进行跳转到商户的网坐上去，正在跳转的过程外，我们需要充值一部门金额才能测试出缝隙导致存正在不存正在，只需你英怯的去测验考试，渗入测试缝隙，城市无收成的，针对充值的缝隙我们前端时间测试成功过。如下图：

　　操纵域名跳转缝隙，我们将能够获取到客户登录的cookies以及办理员的cookies值，利用办理员的cookies值进行登录网坐后台，对网坐上传webshell，进一步的对网坐窜改，以及节制。

　　关于若何修复网坐跳转缝隙，我们SINE平安公司建议正在法式代码长进行缝隙修复，加强域名后输入的字符长度，以及URL地址后的http以及域名字符的限制取平安过滤，对以及特殊的字符以及参数值也加强过滤，好比：redirect，jump,redurl，等参数值的过滤。时辰提示网坐用户，不要随便的打开其他人发过来的网坐链接地址，将网坐平安做到最大化。前往搜狐，查看更多