2009年11月24日 星期二

Unvalidated Redirects and Forwards(OWASP A8)

1. 攻擊手法
     攻擊者利用網站未經過驗證的Redirect和Forward進行攻擊。
         a.  未經過驗證的Redirect:攻擊者可以利用此弱點欺騙使用者點選連結並重新導向到惡意網址。
              Example: http://www.google.com/redirect.jsp?url=hacker.com/malware.exe
         b.  未經過驗證的Forward:攻擊者可能會利用此弱點跳過存取控制,直接連結到管理功能頁
              面。
             Example: http://www.google.com/forward.jsp?fwd=admin.jsp

2. 自我網站檢查
        a.  檢查所有可以帶有參數的Redirect和Forward,是否有驗證參數的功能。

3. 如何預防
        a. 簡單的避免使用 Redirect和Forward。
        b. 若要使用,不要把使用者輸入的參數當作決定目的端的一部分。
        c. 若無法避免,則需要驗證使用者輸入的參數。

沒有留言:

張貼留言