该栏目为中科天齐全新规划的悟空云课堂，=旨在科普软件安全相关知识，助力企业有效防范软件安全漏洞，提升网络安全防护能力。本期主题为URL重定向（跳转）漏洞的相关介绍。

URL重定向：

URL重定向（URLredirection）漏洞，又称跳转漏洞，指的是网络应用程序接受用户可控的输入作为到外部站点的链接，然后在重定向中使用该链接。该安全漏洞给网络钓鱼攻击提供了极大的便利。

漏洞的构成条件：

1、URL从用户可控制的输入中提取；

2、该URL未经验证，就被用于网络应用程序的重定向地址。

URL重定向的常见后果：

关键词：绕过保护机制；获取权限或假冒身份

用户的访问可能会被重定向到不可靠的网页。不可靠网页中可能存在恶意软件并可能攻陷用户电脑。一旦用户电脑被攻陷，用户就暴露在大量各种网络危机中。而且用户和网络服务器的交互也可能被攻陷，导致个人身份，密码等关键敏感信息的泄漏。

URL重定向的一些防范和修补建议

1、从实现角度，进行输入验证：对输入的信息进行验证。比如说使用已知的有效输入验证机制，或是制定严格的说明来规范输入的信息等等。对于不符合规范的输入，或者是拒绝接受，或者对输入进行转换净化，让它符合规范要求。

2、从体系架构和设计上防范该安全漏洞，并尽量减少暴露的攻击面。

URL重定向的样例：

拓展阅读：

http://cwe.mitre.org/data/definitions/601.html（请使用浏览器打开）

更多软件安全相关知识及资讯，

欢迎关注公众号“中科天齐软件安全中心”（id：woocoom），一起涨知识！