CGI 通用开放重定向

medium Nessus 插件 ID 47834

简介

Web 应用程序可能容易遭受不受控制的重定向攻击。

描述

Nessus 可通过向 CGI 提供特别构建的参数重定向至第三方网站。由于重定向很常用,因此用户可能不清楚正在发生一些异常问题。此类攻击可用于窃取机密数据,一般是凭据(网络钓鱼)。

解决方案

修改相关的 CGI,使它们能够正确地转义参数。

另见

https://en.wikipedia.org/wiki/URL_redirection#Manipulating_visitors

https://www.owasp.org/index.php/Open_redirect

插件详情

严重性: Medium

ID: 47834

文件名: torture_cgi_redirection.nasl

版本: 1.20

类型: remote

系列: CGI abuses

发布时间: 2010/7/26

最近更新时间: 2021/1/19

支持的传感器: Nessus

漏洞信息

必需的 KB 项: Settings/enable_web_app_tests

参考资料信息

CWE: 601, 722, 801, 819, 928, 938