Web安全防护技术之未经验证的网址重定向

10.未经验证的网址重定向

未经验证的网址重定向( Unvalidatecl Redirects ancl Forwarcls)，指某些Web程序提供网页重定向功能，让使用者可通过该程序连接到其他网站，攻击者可利用这种特性，将恶意网站隐藏在网页重定向的参数中发送给使用者。

应用程序经常将用户重定向到其他网页，或以类似的方式进行内部转发。攻击者设计出一些钓鱼软件或恶意网站，将其链接到未验证的重定向并诱使受害者去点击。由于看起来是链接到有效的网站，受害者很有可能去点击。这种重定向可能试图安装恶意软件或者诱使受害者泄露密码或其他敏感信息。