大家對URL任意跳轉都肯定了解，也知道他的危害，這里我就不細說了，過~

大家遇到的肯定都是很多基于這樣的跳轉格式：http://www.xxx.xxx/xxx?xxx=http://www.xxx.xxx/xxxxx

基本的思路大家就是直接替換后面的URL來檢測是否存在任意URL跳轉，如果不存在，就直接返回到它自己的域名，如果存在，就跳轉到你指定的URL。

這里我講述我所知道的所以小點。

1|00x01   利用問號繞過限制

利用問號，這是一個特性，利用問號可以成功繞過URL限制。

比如：http://www.aaa.com/acb?Url=http://login.aaa.com  這是一個跳轉鏈接，跳轉到它的二級域名下，那么這個問號放哪里可以繞過呢？其實就是放到它自身的域名前面也就是你添加的想要跳轉的域名的后面，如：http://www.aaa.com/acb?Url=http://test.com?login.aaa.com 。那么，它其實是會跳轉到這個test.com域名下，這個域名是我想要跳轉的任意域名，而后面的它自身域名一定要帶上，不帶上就無法輔助用問號?這個特性來跳轉到指定域名了，而跳轉后，問號和問號后面的內容會變為這樣：http://www.test.com/?login.aaa.com

2|00x02  利用反斜杠和正斜杠繞過限制

這個是我自己研究出來的，不知道是否網上有人說過。

比如：http://www.aaa.com/acb?Url=http://login.aaa.com/  同樣是在它本身域名錢加上正斜杠，然后正斜杠前面跟上你想跳轉的域名地址

如：http://www.aaa.com/acb?Url=http://test.com/login.aaa.com

反斜杠有三種思路

• 兩個反斜杠繞過方法

  比如：http://www.aaa.com/acb?Url=http://login.aaa.com/  同樣是在它本身域名錢加上兩個反斜杠，然后兩個反斜杠前面跟上你想跳轉的域名地址

  如：http://www.aaa.com/acb?Url=http://test.com\\login.aaa.com   

• 一個反斜杠繞過方法

  如：http://www.aaa.com/acb?Url=http://test.com\login.aaa.com 

• 另一種思路，一個反斜杠一個點

  利用\.這樣的格式，也就是一個反斜杠加一個點來跳過限制，

  如：http://www.aaa.com/acb?Url=http://test.com\.login.aaa.com   

3|00x03  利用@繞過URL限制

如果你用這方法在火狐里進行跳轉，會有彈窗提示，在其它游覽器則沒有。

如：http://www.aaa.com/acb?Url=http://login.aaa.com@test.com   后面的test.com就是要跳轉到的域名，前面的域名都是用來輔助以繞過限制的

4|00x04  利用白名單缺陷繞過限制

有的域名白名單限制是不全的，比如如果想利用一個跳轉，而這個跳轉是通用，在這個公司網站很多子域名等都可以跳轉，那么你買個域名也不算貴對吧，為什么這么說呢，這個問題就是白名單限制不當，比如，當跳轉的域名包含這個網站下的所有域名，比如：http://www.aaa.com/acb?Url=http://login.aaa.com，這個login.aaa.com也可以改成aaa.com同樣可以跳轉對吧，因為白名單里只要有包含這個域名就直接成功跳轉。那么當我在這個域名前面加上如testaaa.com，白名單里會檢查是否包含aaa.com這個域名，包含，然后直接跳轉，而并沒有檢查這個域名的整個

信息，然后可以利用這個問題，直接注冊一個testaaa.com這個域名就可以利用這個跳轉。

5|00x05  多重驗證&跳轉繞過限制

現在很多網站都有多重驗證，比如你登陸賬戶后會出現另一個驗證頁面，輸入手機驗證碼進行驗證，此時這上面的URL很可能存在任意跳轉的問題。

多重跳轉的問題導致可繞過URL限制

比如http://www.aaa.com/acb?Url=http://login.aaa.com/acb?url=http://login.aaa.com。當然，還有多重的，這個結構的多重跳轉你修改最后面的URL就可以達到任意URL跳轉，中間的URL就沒必要動了。

6|00x06  點擊觸發達到繞過URL跳轉限制

比如很多登陸頁面的地方，其URL是一個跳轉的URL，如：http://www.aaa.com/acb?Url=http://test.com。你直接修改了后面為任意URL，但是還是停留在原地，似乎沒什么問題，但是，當你輸入賬號和密碼后點擊登陸按鈕后，就會觸發跳轉，當然，這個賬戶和密碼不一定要對的，隨便都可以，但得視系統而定吧。這個我遇到了很多，比如

你修改了域名，然后點擊登陸，登陸成功后便可觸發跳轉，這也是一個比較隱蔽的繞過URL限制的跳轉。

7|00x07  利用xip.io繞過

這個我還沒有在測試中應用過，其請求是http://www.127.0.0.1.xip.io 這個繞過是在SSRF場景中的繞過，比如SSRF你要讀取內網地址，一般都做了限制，可以嘗試用這方法進行繞過限制，從而訪問到內網。

另外一點，URL跳轉涉及的安全問題大家常見的就是釣魚，那么利用這個思路也可達成一個釣魚問題，如，http://www.qq.com.220.181.57.217.xip.io  當你訪問qq這個域名時，其實這個鏈接已經被解析到后面這個ip地址上了，那么實際訪問的就是后面這個IP地址。

8|00x08  利用超鏈接繞過可信站點限制

比如一個URL，它是可以直接跳轉的，但是一般測試跳轉時大家習慣用www.baidu.com或qq.com這樣的可信站點進行測試，但是有些網站是可以跳轉這些網站的，只要是可信站點且常用，基本都可以跳轉，那么這就屬于正常的業務邏輯了。難道就這樣錯失一個URL跳轉漏洞了？其實不然，只要你的URL被百度收錄過，那么直接搜索你的域名，site:xxx.xxx   因為你在百度里點擊你的域名，它會先是一個302跳轉，而這個302跳轉就是百度下的302跳轉，那么這樣就可以繞過可信站點的限制，從而達到跳轉到指定URL，當然，百度這個302有點長，你給它進行加密就行。

9|00x09  POST參數中的URL跳轉

當然，這個影響就很小了，比如當你填什么表格或者需要填寫什么的，當你上傳圖片，點擊下一步的時候，通常下一步就是預覽你填寫的信息，最后才是提交，當你上傳了圖片后點擊下一步抓包，如果過濾不嚴，你會看到圖片的完整地址包含在POST參數里，你就可以直接修改這個地址為任意URL，然后到達下一步，這時是確定信息也就是預覽自己填寫的信息的正確還是不正確，由于你剛剛修改了圖片地址，這里是沒有顯示出來的，圖像會是一個小XX，當點擊圖片右鍵選擇查看圖像時，就會觸發URL跳轉問題，其實這個也可以利用來進行釣魚，釣后臺審核員的信息，為什么呢，比如審核看到圖片無法加載，一般都會點擊查看圖片，然后跳轉，如果安全意識不知就會造成安全影響。

當然，如果POST參數里就只是URL跳轉參數，那么你可以給它轉成GET方式，然后進行跳轉就可以了，只要網站支持這樣的GET方式就行，在Burp Suite里可以一鍵轉換提交方式，右鍵選擇Change request method就可以！

10|00x10  利用#號繞過

如：http://www.aaa.com/acb?Url=http://test.com#login.aaa.com