关键漏洞信息 漏洞概述 类型: Open Redirect 位置: endpoint 参数: 组合条件: - - 影响版本与修复 受影响版本: <= 3.6.1 修复版本: 3.6.2 漏洞详情 原因: 应用未对 参数进行验证或限制,允许重定向至任意外部网站。 风险: 可用于网络钓鱼、凭证盗窃、恶意软件分发及社会工程攻击。 证明概念 (PoC) 请求示例: 行为: 服务器接受构造的请求并成功重定向至 ,而非限制在应用域内。 影响 重定向用户至钓鱼页面 导向恶意网站 利用可信URL进行社会工程攻击 潜在干扰认证或会话管理 损害用户信任 推荐修复措施 实施严格白名单验证 使用相对路径代替绝对外部URL 编码、清洗及验证所有用户输入 添加确认页警告用户离开可信域。