Vulnerability Overview

ZDID: ZD-2018-01392
發信 Vendor: 宏仁診所
Title: 宏仁診所 Open Redirect
Introduction: Open Redirect

處理狀態

目前狀態

公開

Last Update : 2018/11/18

新提交
已審核
已通報
未回報修補狀況
未複測
公開

處理歷程

2018/09/18 22:32:05 : 新提交 (由 Noth 更新此狀態)
2018/09/18 22:34:18 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2018/09/20 10:52:58 : 通報未回應 (由 HITCON ZeroDay 服務團隊更新此狀態)
2018/09/20 10:52:58 : 通報未回應 (由 HITCON ZeroDay 服務團隊更新此狀態)
2018/11/18 03:00:06 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

ZDID：ZD-2018-01392
通報者：Cake7528064 (Noth)
風險：低
類型：未驗證的 URL 轉址 (Unvalidated Redirects and Forwards)

參考資料

攻擊者可利用該漏洞將受害者導向至惡意網站。

OWASP Top 10 2010 - A10 - Unvalidated Redirects and Forwards
https://www.owasp.org/index.php/Top_10_2010-A10-Unvalidated_Redirects_and_Forwards

Unvalidated Redirects and Forwards Cheat Sheet
https://www.owasp.org/index.php/Unvalidated_Redirects_and_Forwards_Cheat_Sheet

CWE-601: URL Redirection to Untrusted Site ('Open Redirect')
http://cwe.mitre.org/data/definitions/601.html

(本欄位資訊由系統根據漏洞類別自動產生，做為漏洞參考資料。)

敘述

重現:

利用google hacking 找到此網站

payload:

http://hongren.org.tw/modules/links/redirect.php?url=http://www.facebook.com
此url參數可以被利用來跳轉，存在重定向

擷圖

留言討論

聯絡組織

發送私人訊息

您也可以透過私人訊息的方式與組織聯繫，討論有關於這個漏洞的相關資訊。

宏仁診所 Open Redirect - HITCON ZeroDay

Vulnerability Detail Report