查看:232 回复:1
[ 踩坑 ] 基于base64的跳转链接居然被利用了
zodream
发表于 2023-04-17 09:48:35
最后编辑于 2023-04-17 09:48:35
本站有一个网址 
/to?url=

默认使用base64加密网址进行自动跳转,没想到被其他站点利用为跳板。
原理分析:
有一个非法网址需要不知情的用户进来,那么就可以借助一些网站的自动跳转功能,多次跳转
例如
a
http://b.com/to?url=YQ
http://c.com/to?url=aHR0cDovL2IuY29tL3RvP3VybD1ZUQ

多套几层就没人能识别原始网址了
zodream
楼主 发表于 2023-04-18 11:54:33
1楼
通过简单的判断试试能不能阻止这些跳转链接,否则的话只能全部停止自动跳转和取消其他页面内外链编码功能了