10.未經(jīng)驗(yàn)證的網(wǎng)址重定向

未經(jīng)驗(yàn)證的網(wǎng)址重定向( Unvalidatecl Redirects ancl Forwarcls)，指某些Web程序提供網(wǎng)頁(yè)重定向功能，讓使用者可通過(guò)該程序連接到其他網(wǎng)站，攻擊者可利用這種特性，將惡意網(wǎng)站隱藏在網(wǎng)頁(yè)重定向的參數(shù)中發(fā)送給使用者。

應(yīng)用程序經(jīng)常將用戶重定向到其他網(wǎng)頁(yè)，或以類似的方式進(jìn)行內(nèi)部轉(zhuǎn)發(fā)。攻擊者設(shè)計(jì)出一些釣魚(yú)軟件或惡意網(wǎng)站，將其鏈接到未驗(yàn)證的重定向并誘使受害者去點(diǎn)擊。由于看起來(lái)是鏈接到有效的網(wǎng)站，受害者很有可能去點(diǎn)擊。這種重定向可能試圖安裝惡意軟件或者誘使受害者泄露密碼或其他敏感信息。