• 2025-11-13 20:23:33

破解网络钓鱼：开放重定向漏洞的威胁

关键要点

最近引人注目的头条新闻宣称：“Nespresso域名提供了一杯蒸汽的网络钓鱼，没有奶油或糖。” 尽管这并不是数据泄露，但该故事的开放重定向漏洞揭示了威胁参与者为了逃避侦测和欺骗毫无戒心用户所愿意采取的手段和方法。

开放重定向漏洞允许恶意行为人将潜在目标从合法网站误导到恶意网站。这通常发生在网站或网络应用程序允许用户控制的输入转发到其他URL时。例如，在这个虚构的域名https//goodsitecom中，如果用户的服务器不及时验证或限制URL=参数，任何攻击者都可以修改URL，将用户引导到https//goodsitecomURL=badsitecom，从而将毫无防备的用户引导到恶意网站“badsitecom”。恶意行为者利用这些修改过的URL进行网络钓鱼活动。

开放重定向攻击可呈现多种形式，常见的包括：

攻击类型描述基本重定向最简单的形式，通过利用URL参数重定向用户。基于头部的重定向攻击者利用HTTP响应头操控重定向过程。URL短链接恶意者使用流行的URL短链接服务，将用户导向恶意网站。重定向链有时受害者会经历多个看似合法的网站重定向，最后才到达恶意网站。第三方服务中的重定向第三方服务如[单点登录](https//mediumcom/@Land2Cyber/openredirectsinmodernsinglesignonssoimplementations8f900cc6fbb4#text=In20the20context20of20SSOuser20to20a20malicious20websiteamptext=Attackers20can20use20open20redirects20in20SSO20to20craft20convincing20phishing20attacks和支付网关可能存在可被利用的重定向漏洞。JavaScript重定向某些网站使用JavaScript功能将用户重定向到特定页面。

开放重定向为什么受欺诈者欢迎

在用户进行常规在线活动时无论是银行交易、购物还是浏览社交媒体，他们往往会对熟悉的品牌、域名和网站抱有隐性信任。用户盲目假设，知名品牌是安全的。这种隐性信任正是诈骗者在网络钓鱼和其他社会工程攻击中采用开放重定向的原因所在。

开放重定向受网络钓鱼者欢迎的另一个原因是，传统的电子邮件安全工具通常只检查直接的URL。恶意行为者还可以将开放重定向与其他漏洞比如服务器端请求伪造 (SSRF) 和跨站脚本攻击 (XSS) 相结合，从而绕过安全控制，未经授权地访问敏感数据。这使得开放重