业务设计篇隐私合规检测URL 重定向资源拒绝服务配合项目
# 隐私合规 - 判断规则 & 检测项目
对象: APP 小程序等
具体:后续 APP 安全课程
mobsf
-https://appscan.ly.com/
-https://github.com/bytedance/appshark
某 SRC 规则参考: https://mp.weixin.qq.com/s/tgEZth3TFyyis_EBrQ5PhQ
#URL 重定向 - 检测判断 & 钓鱼配合
URL 重定向漏洞( URL redirection vulnerability ),是一种常见的 Web 安全
漏洞,由于网站 URL 重定向功能设计不当,没有验证跳转的目标 URL 是否合法,用户
可通过此漏洞跳转到任意网站,这会导致可通过该网站跳转到存在木马、病毒的网站或者
钓鱼网站,国外大厂的一个任意 URL 跳转都 500$ 、 1000$ 了,国内看运气 ~
黑盒看业务:
用户登录、统一身份认证处,认证完后会跳转
用户分享、收藏内容过后,会跳转
跨站点认证、授权后,会跳转
站内点击其它网址链接时,会跳转
黑盒看参数名:
redirect
redirect_to
redirect_url
url
jump
jump_to
target
to
link
linkto
domain
