查看:221 回复:1
[ 踩坑 ] 基于base64的跳转链接居然被利用了
zodream
发表于 2023-04-17 09:48:35
最后编辑于 2023-04-17 09:48:35
本站有一个网址 
/to?url=

默认使用base64加密网址进行自动跳转,没想到被其他站点利用为跳板。
原理分析:
有一个非法网址需要不知情的用户进来,那么就可以借助一些网站的自动跳转功能,多次跳转
例如
a
http://b.com/to?url=YQ
http://c.com/to?url=aHR0cDovL2IuY29tL3RvP3VybD1ZUQ

多套几层就没人能识别原始网址了
回复
zodream
楼主 发表于 2023-04-18 11:54:33
1楼
通过简单的判断试试能不能阻止这些跳转链接,否则的话只能全部停止自动跳转和取消其他页面内外链编码功能了
回复
Cookie设置
我们的网站会使用一些 Cookie 并记录您的 IP 地址,用于访问、安全和管理您对网络的访问。您可以通过更改浏览器设置来禁用数据收集和 Cookie,但这可能会影响本网站的功能。 了解更多
必要的
默认激活

基本 Cookie 对于网站的正常运行绝对必要。这些 Cookie 是匿名的,用于确保网站的基本功能和安全特性。

Cookie 有效期 说明
cookie_policy 11个月 Cookie 插件设置 Cookie 的目的是存储用户对使用 Cookie 的同意;它不会存储任何个人数据。
PHPSESSID 11个月 用于绑定用户登录凭证的 Cookie 标识
XSRF-TOKEN 11个月 用于防止跨站脚本攻击的 Cookie 标识
功能要求

功能性 Cookie 有助于执行某些功能,例如在社交媒体平台上共享网站内容、收集反馈和其他第三方功能。

性能要求

性能 Cookie 用于了解和分析网站的主要性能指标,这有助于为访问者提供更好的用户体验。

分析要求

分析 Cookie 用于了解访问者如何与网站互动。这些 Cookie 有助于提供有关访问者数量、跳出率、流量来源等指标的信息。

广告要求

广告 Cookie 用于为访问者提供相关的广告和营销活动。这些 Cookie 跨网站跟踪访问者并收集信息以提供定制广告。

其他要求

其他未分类的 Cookie 是那些正在分析但尚未分类的 Cookie。