文章来源:EDI安全
01
漏洞标题
某奖评审系统登录处存在URL跳转漏洞
02
漏洞类型
URL跳转
03
漏洞等级
低危
04
漏洞地址
http://xxx.xxx.xx.x.org.cn/
某奖评审系统登录处
05
漏洞详情
0x01
某奖评审系统登录处
登录处存在URL跳转,这里可以利用这个跳转到任意恶意网页上去。
http://xx.xx.xx.xx.org.cn/common/login/login.jsp?returnUrl=http://xxx.xx.x.xx.xx:2333/
这里搭配自己的服务器,完成跳转过程:
06
漏洞危害
利用任意的URL跳转的问题可以跳转到其他网站
07
建议措施
限制登录后的URL跳转范围,定义白名单
PS:本文仅用于技术讨论与分析,严禁用于任何非法用途,违者后果自负。