偵測

CGI 泛型開放重新導向

medium Nessus Plugin ID 47834

語言:

概要

Web 應用程式可能容易遭受不受控制的重新導向攻擊。

說明

Nessus 可藉由提供特製參數給 CGI 而重新導向至第三方網站。

由於重新導向很常用,因此使用者可能將不清楚會發生某些異常問題。

此類攻擊可用於竊取機密資料,一般是認證 (網路釣魚)。

解決方案

修改相關 CGI,以便正確逸出引數。

另請參閱

https://en.wikipedia.org/wiki/URL_redirection#Manipulating_visitors

https://www.owasp.org/index.php/Open_redirect

Plugin 詳細資訊

嚴重性: Medium

ID: 47834

檔案名稱: torture_cgi_redirection.nasl

版本: 1.20

類型: remote

系列: CGI abuses

已發布: 2010/7/26

已更新: 2021/1/19

支援的感應器: Nessus

弱點資訊

必要的 KB 項目: Settings/enable_web_app_tests

參考資訊

CWE: 601, 722, 801, 819, 928, 938