首页 > 其他分享 >url重定向-基于Pikachu的学习

url重定向-基于Pikachu的学习

时间:2024-05-07 10:34:25浏览次数:25  
标签:重定向 url Pikachu 跳转 转发 页面

URL重定向

原理

不安全的url跳转问题可能发生在一切执行了url地址跳转的地方。
如果后端采用了前端传进来的(可能是用户传参,或者之前预埋在前端页面的url地址)参数作为了跳转的目的地,而又没有做判断的话
就可能发生"跳错对象"的问题。

转发

由服务器端进行的页面跳转。
请求转发:一种在服务器内部的资源跳转方式。

区别

URL重定向是通过控制参数去改变访问的地址,是由浏览器端进行页面跳转
转发是由服务器去请求的,是由服务器端进行的。

Pikachu

打开题目就是四个超连接

image-20240507101654031

抓包看看发生了什么变化吧

image-20240507102222667

发现是通过url参数实现了重定向,那我们输入payload,重定向一下

url=https://www.cnblogs.com/Muneyoshi

发现页面跳转到

image-20240507102329985

标签:重定向,url,Pikachu,跳转,转发,页面
From: https://www.cnblogs.com/Muneyoshi/p/18176674

相关文章

  • xxe-基于Pikachu的学习
    XXE漏洞XML外部实体注入(XXE)的原理和应用_xml注入原理-CSDN博客XXE(XML外部实体注入)漏洞分析——pikachu靶场复现_pikachuxxe-CSDN博客原理XML外部实体注入漏洞(XMLExternalEntityInjection)简称XXE,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意......
  • unserialize-基于Pikachu的学习
    php反序列化PHP反序列化漏洞详解(万字分析、由浅入深)_php反序列化漏洞原理-CSDN博客PHP反序列化基础-HelloCTF(hello-ctf.com)PHP反序列化漏洞的原理及复现-FreeBuf网络安全行业门户原理:php程序为了保存和转储对象,提供了序列化的方法。php序列化是为了在程序运行的过程......
  • 敏感数据泄露-基于Pikachu的学习
    敏感数据泄露原理由于管理员或者技术人员等各种原因导致敏感信息泄露。许多web应用程序和app都无法正确保护敏感数据,攻击者可以通过窃取或修改未加密的数据来实施信用卡诈骗、身份盗窃或其他犯罪行为。未加密的敏感数据容易受到破坏,因此,我们需要对敏感数据加密,这些数据包括:传输......
  • 目录遍历-基于Pikachu的学习
    目录遍历原理目录浏览漏洞是由于网站存在配置缺陷,存在目录可浏览漏洞,这会导致网站很多隐私文件与目录泄露,比如数据库备份文件、配置文件等,攻击者利用该信息可以更容易得到网站权限,导致网站被黑。Pikachu打开题目就是两个超链接,我随便点了一个发现url发现变化,有一个参数值titl......
  • Over-Permission-基于Pikachu的学习
    越权漏洞原理该漏洞是指应用在检查授权时存在纰漏,使得攻击者在获得低权限用户账户后,利用一些方式绕过权限检查,访问或者操作其他用户或者更高权限。越权漏洞的成因主要是因为开发人员在对数据进行增、删、改、查询时对客户端请求的数据过分相信而遗漏了权限的判定,一旦权限验证不......
  • JS实现获取当前URL和来源URL的方法
    通用模式:Javascript正常取来源网页的URL只要用:index.html:<!DOCTYPEhtml><htmllang="zh-cn"><head><metacharset="UTF-8"><metaname="viewport"content="width=device-width,initial-scale=1,maximum-scale=......
  • filedownload-基于pikachu的学习
    Filedownload原理文件下载功能在很多web系统上都会出现,一般我们当点击下载链接,便会向后台发送一个下载请求,一般这个请求会包含一个需要下载的文件名称,后台在收到请求后会开始执行下载代码,将该文件名对应的文件response给浏览器,从而完成下载。如果后台在收到请求的文件名后,将......
  • Linux 输出重定向 2>&1 , 1>&2
    在shell程式中,最常使用的FD(filedescriptor)大概有三个,分别是:0是一个文件描述符,表示标准输入(stdin)1 是一个文件描述符,表示标准输出(stdout)2 是一个文件描述符,表示标准错误(stderr)在标准情况下,这些FD分别跟如下设备关联: stdin(0):keyboard键盘输入,并返回......
  • 文件包含-基于Pikachu的学习
    File_Include(文件包含)原理文件包含,是一个功能。在各种开发语言中都提供了内置的文件包含函数,其可以使开发人员在一个代码文件中直接包含(引入)另外一个代码文件。比如在PHP中,提供了:include(),include_once()require(),require_once()这些文件包含函数,这些函数在代码设计中......
  • SQL注入-基于Pikachu的学习
    zhSQL注入SQL数据库的基本语句SQL教程|菜鸟教程(runoob.com)史上最全SQL基础知识总结(理论+举例)-CSDN博客SQL注入原理SQL注入漏洞主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分......