開放重定向:您的網站有沒有被惡意地利用

核心提示:沒有人願意被惡意軟件或網絡垃圾侵擾,這正是我們都樂意遵守網站安全運營推薦方法的原因。但是否有一種方式能讓網絡垃圾制造者無需在您的服務器中設置虛擬腳本就可以利用您的網站呢? 的確有,那就是通過濫用開放重定向網址。

網站管理員們經常會面對諸多需要幫助用戶重定向到其他頁面的情況。不幸的是,對任意目的地開放的重定向很可能被濫用。這是一個防不勝防的濫用形式,因為它充分利用瞭您網站的功能,而不是利用您網站的潛在缺陷或安全漏洞。網絡垃圾制造者試圖利用您的域名作為臨時登陸頁以將用戶、搜索用戶和搜索引擎誘騙到看似指向您的網站,實際上卻重定向到其垃圾網站的鏈接。

我們正在努力把濫用網址排除在我們的索引之外,但從您的角度確保您的網站沒有以這種方式被濫用也是非常重要的。您一定不希望您域名上的鏈接把用戶帶到一些充斥著色情圖片、惱人病毒、惡意軟件以及欺騙性企圖的網頁上來。網絡垃圾制造者會生成鏈接,並使之出現在搜索結果中,而這些鏈接往往指向那些您不想與之有任何瓜葛的垃圾網站。

最近這種濫用比較普遍,所以我們想讓您和其他網站管理員們對此有所瞭解。首先,我們將舉出一些重定向被濫用的例子,隨後我們將探討如何發現被濫用的網站以及如何對此進行處理。

被網絡垃圾制造者濫用的重定向

我們註意到,網絡垃圾制造者盯上瞭從大型知名企業到小型地方政府機構在內的各類網站。下面的列表是各種被廣泛使用的重定向的示例。這些都是合法的技術手段,但如果這些技術手段也正在您的網站上被應用的話,您要謹防濫用的發生。

1將用戶重定向到服務器某一文件(如PDF文件)的腳本有時會很脆弱,容易被惡意利用。如果您使用的是可以上傳文件的內容管理系統( CMS ) ,您應該確認您網站下載區的鏈接是直接指向文件而不是通過重定向來指向的。請留意這樣的鏈接形式:

example.com/go.php?url=

example.com/ie/ie40/download/?

2網站的內部搜索結果頁上有時有自動重定向選項,這也比較容易被惡意利用。請留意下面形式的網址,它們會將用戶自動重定向到url=後所跟的網址上:

example.com/search?q=user+search+keywordsurl=

3跟蹤點擊量的聯盟計劃系統、廣告程序或網站統計信息也是有被濫用危險的。示例網址包括:

example.com/coupon.jsp?code=ABCDEFurl=

example.com/cs.html?url=

4代理網站,雖然這不完全是技術上的重定向,但它被設計成幫助用戶登錄其他網站,因此也比較容易遭到濫用。包括用於學校和圖書館的代理網站。例如:

proxy.example.com/?url=

5在某些情況下,登錄頁會將用戶重定向回他們登錄前試圖訪問的頁面,而這也是容易遭惡意利用的。請留意類似這樣的網址參數:

example.com/login?url=

6用戶離開網站時向用戶提供信息的緩沖網頁的腳本易被濫用。大量的教育機構,政府部門以及大型企業的網站采用這樣的腳本來讓告知用戶,您正在離開本站而前往訪問外部網站上的信息,例如以下網址模式:

example.com/redirect/

example.com/out?

example.com/cgi-bin/redirect.cgi?

更多精彩點擊下一頁