0x01 成因 对于URL跳转的实现一般会有几种实现方式: 通过以GET或者POST的方式接收将要跳转的URL,然后通过上面的几种方式的其中一种来跳转到目标URL。一方面,由于用户的输入会进入Meta,javascript,http头所以都可能发生相应上下文的漏洞,如xss等等,但是同时,即使只是对 ...
分类:
Web程序 时间:
2019-05-22 22:11:21
阅读次数:
338
可能会被忽略的url跳转方式,后端验证时需要考虑这种情况: https://zhidao.baidu.com/question/566551732268407284.html/../../?entry=manual_push?entry=home_new_content 会跳转到 https://z ...
分类:
Web程序 时间:
2019-03-28 15:42:01
阅读次数:
154
目录 1. 登录测试 1.1 输入正确的用户名和正确的密码,看输出结果是否正确 1.2 输入正确的用户名和错误的密码,并给出合理的提示 1.3 输入错误的用户名和正确的密码,并给出合理的提示 1.4 输入错误的用户名和错误的密码,并给出合理的提示 1.5 不输入用户名和密码(均为空格),并给出合理的 ...
分类:
Web程序 时间:
2019-03-18 13:51:10
阅读次数:
266
微信浏览器跳转浏览器下载app解决方案 新版本微信浏览器中,已禁用下载APP应用,只支持打开微信合作商APP下载,所以无法通过微信浏览器直接下载APP应用。列举微信浏览器下载APP的种解决方案: 方案:通过Url 跳转到手机默认浏览器,或者是苹果应用商店/APP Store,在应用商店/APP St ...
分类:
微信 时间:
2019-02-16 12:08:46
阅读次数:
209
前段时间搞一个需求,是这样的,在微信中分享文章(广告),会被微信封,为了保证一个域名都能访问,需要检测是否被封,被封后就将该域名删除。为了防止被封,做了三级的域名跳转,一级使用一些必究权威网站的url跳转漏洞,二级用我们自己的,三级使用最终的广告域名。 起初以为会是web微信,或者微信公众号开发平台 ...
分类:
微信 时间:
2019-01-20 15:59:13
阅读次数:
164
微信浏览器跳转浏览器下载app解决方案 新版本微信浏览器中,已禁用下载APP应用,只支持打开微信合作商APP下载,所以无法通过微信浏览器直接下载APP应用。列举微信浏览器下载APP的种解决方案: 方案:通过Url 跳转到手机默认浏览器,或者是苹果应用商店/APP Store,在应用商店/APP St ...
分类:
微信 时间:
2019-01-18 21:52:59
阅读次数:
282
前端到后端: 1.用AJAXdata传值,后端用实体类对应对象或者HttpServletRequest 接收String类型字段,如: 2.layui等插件弹出框url跳转路径后拼接属性和值,如: 后端到前端: 1.通过ModelAndView,Model赋值<K,V>,view客户端跳转url,如 ...
分类:
其他好文 时间:
2019-01-10 12:06:22
阅读次数:
177
vue-router 默认 hash 模式 —— 使用 URL 的 hash 来模拟一个完整的 URL,于是当 URL 改变时,页面不会重新加载。 如果不想要很丑的 hash,我们可以用路由的 history 模式,这种模式充分利用 history.pushState API 来完成 URL 跳转而 ...
分类:
Web程序 时间:
2019-01-09 21:42:32
阅读次数:
242
微信浏览器跳转浏览器下载app解决方案 新版本微信浏览器中,已禁用下载APP应用,只支持打开微信合作商APP下载,所以无法通过微信浏览器直接下载APP应用。列举微信浏览器下载APP的种解决方案: 方案:通过Url 跳转到手机默认浏览器,或者是苹果应用商店/APP Store,在应用商店/APP St ...
分类:
微信 时间:
2018-12-27 22:56:35
阅读次数:
267
URL跳转漏洞 URL 跳转漏洞是指后台服务器在告知浏览器跳转时,未对客户端传入的重定向地址进行合法性校验,导致用户浏览器跳转到钓鱼页面的一种漏洞。 使用场景 现在 Web 登录很多都接入了QQ、微信、新浪等第三方登录,以 QQ 第三方授权登录为例说明,在我们调用 QQ 授权服务器进行授权时,会在参 ...
分类:
Web程序 时间:
2018-11-14 16:32:49
阅读次数:
235