URL跳转漏洞总结（重定向漏洞）

目录

介绍

绕过的方式

本地

CDIR

Dot

十进制

八进制

十六进制

添加0

域名参数改造

域混淆

路径和扩展绕过

常注射的参数

利用方式

工具

---

介绍

URL 跳转漏洞是指后台服务器在告知浏览器跳转时，未对客户端传入的重定向地址进行合法性校验，导致用户浏览器跳转到钓鱼页面的一种漏洞。

访问 http://www.abc.com?url=http://www.xxx.com 直接跳转到 http://www.xxx.com 说明存在URL重定向漏洞

绕过的方式

本地

http://127.0.0.1:80
http://127.0.0.1:443
http://127.0.0.1:22
http://127.1:80
http://127.000000000000000.1
http://0
http:@0/ --> http://localhost/
http://0.0.0.0:80
http://localhost:80
http://