網(wǎng)絡(luò)安全工作是防守和進(jìn)攻的博弈戰(zhàn)，是保證信息安全，工作順利開展的奠基石。想要在信息安全戰(zhàn)爭(zhēng)中搶占先機(jī)，屹立于不敗之地，就需要及時(shí)做好自身的信息安全工作，發(fā)現(xiàn)漏洞和問(wèn)題并及時(shí)修補(bǔ)。

漏洞危害有大有小，小的漏洞不覺得危害有多嚴(yán)重，比如平常我們接觸或者聽聞的釣魚、欺騙等一些URL跳轉(zhuǎn)的漏洞，這些畢竟還是不法分子通過(guò)假的頁(yè)面讓人訪問(wèn)讓人上當(dāng)，對(duì)于企業(yè)自身的業(yè)務(wù)沒有多少直接影響。

但如果遇上的是這一種URL跳轉(zhuǎn)漏洞則不可輕視，那就是開放式重定向跳轉(zhuǎn)（Open Redirect）。

開放式重定向跳轉(zhuǎn)，是利用重定向功能，Web應(yīng)用能夠引導(dǎo)用戶訪問(wèn)同一應(yīng)用程序的不同網(wǎng)頁(yè)或其它的外部站點(diǎn)。當(dāng)Web應(yīng)用將客戶端重定向到攻擊者可以控制的任意URL站點(diǎn)時(shí)，就會(huì)發(fā)生Open Redirect漏洞。

什么意思呢？舉個(gè)簡(jiǎn)單的例子，你通過(guò)正常的方式訪問(wèn)信任的a網(wǎng)站，這其中有一個(gè)URL只要訪問(wèn)a網(wǎng)站就能夠跳轉(zhuǎn)訪問(wèn)b網(wǎng)站，但是通過(guò)將URL的參數(shù)改成要你跳轉(zhuǎn)的c網(wǎng)站，那么在訪問(wèn)a網(wǎng)站的時(shí)候，跳轉(zhuǎn)就直接跳到c網(wǎng)站去了。

然后不法分子利用這個(gè)漏洞欺騙用戶訪問(wèn)某個(gè)可信賴站點(diǎn)的URL，重定向到攻擊者控制的惡意網(wǎng)站。通過(guò)對(duì)URL進(jìn)行編碼，迷惑用戶，結(jié)合網(wǎng)絡(luò)釣魚攻擊手段（Phishing）來(lái)騙取這些用戶的相關(guān)密碼憑證。

一般可疑而且明顯的URL我們都能識(shí)別，但是經(jīng)過(guò)特別編碼的URL一般情況下我們未必就能識(shí)別得出來(lái)，比如一個(gè)長(zhǎng)串?dāng)?shù)字加字母的鏈接，一旦用戶通過(guò)這種漏洞泄露了密碼，賬戶被劫持，其他的平臺(tái)也會(huì)被采用撞庫(kù)的方式一一破解，后果相當(dāng)嚴(yán)重。

所以，及時(shí)發(fā)現(xiàn)安全漏洞，評(píng)估安全等級(jí)，并采取措施更正網(wǎng)絡(luò)安全漏洞和系統(tǒng)錯(cuò)誤設(shè)置才能保證網(wǎng)絡(luò)信息的安全性，防范黑客的攻擊。