為什么要進(jìn)行漏洞掃描 系統(tǒng)漏洞危害不能輕視

網(wǎng)絡(luò)安全工作是防守和進(jìn)攻的博弈戰(zhàn)，是保證信息安全，工作順利開展的奠基石。想要在信息安全戰(zhàn)爭中搶占先機，屹立于不敗之地，就需要及時做好自身的信息安全工作，發(fā)現(xiàn)漏洞和問題并及時修補。

漏洞危害有大有小，小的漏洞不覺得危害有多嚴(yán)重，比如平常我們接觸或者聽聞的釣魚、欺騙等一些URL跳轉(zhuǎn)的漏洞，這些畢竟還是不法分子通過假的頁面讓人訪問讓人上當(dāng)，對于企業(yè)自身的業(yè)務(wù)沒有多少直接影響。

但如果遇上的是這一種URL跳轉(zhuǎn)漏洞則不可輕視，那就是開放式重定向跳轉(zhuǎn)（Open Redirect）。

開放式重定向跳轉(zhuǎn)，是利用重定向功能，Web應(yīng)用能夠引導(dǎo)用戶訪問同一應(yīng)用程序的不同網(wǎng)頁或其它的外部站點。當(dāng)Web應(yīng)用將客戶端重定向到攻擊者可以控制的任意URL站點時，就會發(fā)生Open Redirect漏洞。

什么意思呢？舉個簡單的例子，你通過正常的方式訪問信任的a網(wǎng)站，這其中有一個URL只要訪問a網(wǎng)站就能夠跳轉(zhuǎn)訪問b網(wǎng)站，但是通過將URL的參數(shù)改成要你跳轉(zhuǎn)的c網(wǎng)站，那么在訪問a網(wǎng)站的時候，跳轉(zhuǎn)就直接跳到c網(wǎng)站去了。

然后不法分子利用這個漏洞欺騙用戶訪問某個可信賴站點的URL，重定向到攻擊者控制的惡意網(wǎng)站。通過對URL進(jìn)行編碼，迷惑用戶，結(jié)合網(wǎng)絡(luò)釣魚攻擊手段（Phishing）來騙取這些用戶的相關(guān)密碼憑證。

一般可疑而且明顯的URL我們都能識別，但是經(jīng)過特別編碼的URL一般情況下我們未必就能識別得出來，比如一個長串?dāng)?shù)字加字母的鏈接，一旦用戶通過這種漏洞泄露了密碼，賬戶被劫持，其他的平臺也會被采用撞庫的方式一一破解，后果相當(dāng)嚴(yán)重。

所以，及時發(fā)現(xiàn)安全漏洞，評估安全等級，并采取措施更正網(wǎng)絡(luò)安全漏洞和系統(tǒng)錯誤設(shè)置才能保證網(wǎng)絡(luò)信息的安全性，防范黑客的攻擊。