DVWA 靶场 Open HTTP Redirect 漏洞实战：从原理到绕过技巧

1. DVWA与HTTP重定向漏洞初探

DVWA（Damn Vulnerable Web Application）是我这些年用过最顺手的Web安全学习靶场之一。它把各种常见漏洞都打包在一个环境里，特别适合新手入门和高手练手。今天要聊的Open HTTP Redirect（开放重定向）漏洞，在实际业务中经常被忽视，但危害一点都不小。

记得去年帮某电商平台做安全审计时，就发现他们的登录跳转功能存在开放重定向问题。攻击者可以伪造钓鱼链接，把用户引导到恶意网站。这种漏洞利用成本低，但中招率却很高。在DVWA里，这个漏洞被设计成低、中、高三个难度级别，正好能让我们由浅入深理解防御机制的演变。

HTTP重定向本身是个正常功能，比如301/302跳转在网站改版、短链接服务中都很常见。问题出在当开发者不对跳转目标做严格校验时，攻击者就能篡改redirect参数指向任意地址。这就好比小区门禁系统不核对访客身份，只要有人说"我是送外卖的"就直接放行。

2. Low级别：毫无防护的裸奔状态

先来看Low级别的场景，这简直就是漏洞利用的"Hello World"。打开DVWA的Open Redirect模块，随便点个链接，你会发现URL里明晃晃挂着redirect参数。我第一次看到这种设计时都笑了——这不就是把后门钥匙直接插在锁上吗？

构造payload简单到令人发指：直接在URL后面追加?redirect=https://www.baidu.com，页面就会乖乖跳转到百度。查看源码更让人无语：

if (array_key_exists("redirect", $_GET) && $_GET['redirect'] != "") {
    header("location: " . $_GET['redirect']);
    exit;
}

这种代码就像完全不设防的保险箱，谁都能打开。在实际开发中，我见过不少新手会犯这种错误，特别是赶工期的时候。去年审计的一个校园网站，密码重置功能就用类似代码处理跳转，攻击者可以构造链接把用户导向钓鱼页面。