URL跳转与钓鱼
从登录页跳转到另一个页面就叫做URL跳转。
1.URL跳转
URL跳转一般分为两种,(1)客户端跳转;(2)服务端跳转。对用户来说,两种跳转都是透明的,都是指向或者跳转到另一个页面,页面发生了改变。但对于开发者来说,是有区别的。
(1)客户端跳转
客户端跳转也被称为重定向,用户浏览器地址栏的URL会发生明显变化。
比如:当前页面为http://www.a.com/new.php,当用户点击登录按钮会指向http://www.a.com/login.php,且页面发生变化,这就是客户端跳转。
比如Index.jsp中重定向语句,代码如下:
<%
response.sendRedirect("x.jsp");
%>
当我们在浏览器中打开Index,jsp时,执行到此语句,页面就会发生变化,且URL也会变化,在HTTP协议中表现如下:
当浏览器请求Index.jsp后,收到302指示(也叫重定向)就会立刻进行跳转,而用户是感受不到的。
(2)服务器端跳转
服务器端跳转也叫URL转发,服务器端跳转时,用户浏览器的地址栏URL是不会改变的。
比如:当前页面为http://www.a.com/new.php,当用户点击登录按钮,浏览器地址栏的URL没变,但是页面会发生变化。
在java servlet中跳转代码如下:
publicvoid doGet(HttpServletRequest request,HttpServletResponse reponse)
throws ServletException,IOException{
this.doPast(request,response);
}
public void doPast(HttpServletRequest request,HttpServletResponse respon)
throws SerlvetException,IOException{
request.getRequestDispatcher("upload.jsp").forward(request,response);
}
(3)其他
还有一些跳转不属于转发,也不属于重定向,而是直接向服务器发送请求
比如<a>标签
<a href="http://www.a.com/news.jsp">新闻列表</a>
2.钓鱼
网络中的钓鱼指的是钓鱼攻击
比如:攻击者模拟腾讯网站,或者一些CS架构软件,当用户使用这些软件的时候,攻击者可以截获用户的账号信息。
使用URL跳转可以突破钓鱼软件检测系统。
这类钓鱼软件检测系统在检测是否是钓鱼网站或者恶意系统的时候,检测的是URL,而并非网站的内容。比如,从qq邮箱打开一个URL的时候,会弹出一个网页提示。但并不是所以的网站都会提示,一些知名网站是不可能做钓鱼网站的,所以邮箱就不会拦截,也就是说,当邮箱碰到不认识的网站的时候才会进行提示。
这样攻击者就可以利用URLt跳转来躲过恶意检测。比如:http://www.baidu.com/page?=http://www.ta0bao.com
URL跳转与钓鱼的更多相关文章
- 安全测试4_客户端的安全漏洞(XSS、CSRF、点击劫持、URL跳转)
那个fanh前面学习的都是基础,现在开始正式学习下安全的知识,这一章主要讲解客户端常见的安全漏洞. 看到这个不错,给大家记一下: 1.常见的安全事件: 2.XSS(跨站脚本),英文全称:Cross S ...
- WEB安全番外第一篇--其他所谓的“非主流”漏洞:URL跳转漏洞与参数污染
一.URL跳转篇: 1.原理:先来看这段代码: <?php if(isset($_GET["url_redircetion_target"])){ $url_redirect ...
- [WEB安全]绕过URL跳转限制的思路
0x00 简介 说起URL跳转漏洞,有些人可能会觉得,不就是单纯的跳转到某一个其他网页吗?有什么用??? 给大家一个链接,你们进去看一下就明白了: http://www.anquan.us/searc ...
- URL跳转漏洞
URL跳转原理: 由于越来越多的需要和其他第三方应用交互,以及在自身应用内部根据不同的逻辑将用户引向到不同的页面,譬如一个典型的登录接口就经常需要在认证成功之后将用户引导到登录之前的页面,整个过程中如 ...
- Url跳转漏洞常见
Url跳转漏洞常见出现点: 1.用户登录.统一身份认证处,认证完后会跳转. 2.用户分享.收藏内容过后,会跳转. 3.跨站点认证.授权后,会跳转. 4.站内点击其它网址链接时,会跳转. Url跳转漏洞 ...
- pikachu 不安全的url跳转
不安全的url跳转问题可能发生在一切执行了url地址跳转的地方.如果后端采用了前端传进来的(可能是用户传参,或者之前预埋在前端页面的url地址)参数作为了跳转的目的地,而又没有做判断的话就可能发生&q ...
- Express URL跳转(重定向)的实现
Express URL跳转(重定向)的实现 Express是一个基于Node.js实现的Web框架,其响应HTTP请求的response对象中有两个用于URL跳转方法res.location()和 ...
- android端,webview内url跳转到app本地
这是和一个前端同事沟通. app内嵌入他的web页,要通过web页内的url跳转到app的详细内容. 他的android同事,没有思路. 其实嵌入web页,用的webview控件,只要能找到webvi ...
- js判断移动终端url跳转
CODE <script> //判断终端url跳转 function sp_isMobile() { return Boolean(navigator.userAgent.match(/. ...
随机推荐
- git&&SourceTree使用总结
git&&sourceTree操作学习 基本操作 commit 提交 pull 更新代码 push 推送代码 fetch 抓取代码 Branch 新建分支 merge 合并代码 Sta ...
- ssh框架整合时的延迟加载问题(no session问题)的分析以及解决方案
当我们整合完三大框架,并采用hibernate的延迟加载方案时,会出现如下的异常: 现在对这个异常进行分析,如下图所示(模拟通过id查询用户信息的过程): 上图分析了为什么会出现no session的 ...
- 移动端H5支付(微信和支付宝)
我们直接进入主题吧,先说功能: 1.用户通过我们的页面输入充值帐号和金额调起支付(微信或者支付宝),支付成功返回获取支付结果. 2.微信支付成功后重定向到指定页面(没有设置重定向地址的话,默认返回调起 ...
- 这一份MySQL书单,可以帮你搞定90%以上的面试题!
- [hdu4622 Reincarnation]后缀数组
题意:给一个长度为2000的字符串,10000次询问区间[L,R]内的不同子串的个数 思路:对原串的每个前缀求一边后缀数组,询问[L,R]就变成了询问[L,n]了,即求一个后缀里面出现了多少个不同子串 ...
- python 基础应用1
1.使用while循环输入1 2 3 4 5 6 8 9 10 n = 0 while n < 11: n = n + 1 if n == 7: continue print(n) n = 0 ...
- 我的linux学习日记day5
一.vim 编辑器 有三种模式,命令模式,输入模式,末行模式 1.下面是命令模式常用的命令 2.末行模式常用命令 :w 保存 :q 退出 :q! 强制退出 :wq! 强制保存退出 :set nu 显示 ...
- watch 和 计算属性
作者:纵横链接:https://www.zhihu.com/question/55846720/answer/331760496来源:知乎著作权归作者所有.商业转载请联系作者获得授权,非商业转载请注明 ...
- react-grid-layout实现拖拽,网格布局
借鉴地址:https://www.jianshu.com/p/b48858eee3a7 安装 react-grid-layout npm install react-grid-layout impor ...
- 「雕爷学编程」Arduino动手做(8)——湿度传感器模块
37款传感器和模块的提法,在网络上广泛流传,其实Arduino能够兼容的传感器模块肯定是不止37种的.鉴于本人手头积累了一些传感器与模块,依照实践出真知(动手试试)的理念,以学习和交流为目的,这里准备 ...