我的代码正在扫描一种软件,该软件检查针对xss的任何漏洞并打开http重定向。我已经验证了重定向请求参数,但仍显示HTTP open http redirect。
下面是我的代码
`
$account_number = preg_replace('/[^0-9]/', '', $_REQUEST ['account_number']);
if (! preg_match ( "/^[[:digit:]]{16}$/", $account_number ))
{
exit();
}
$redirect_url_raw = "/admin/view.php?account_number =$account_number ";
$redirect_url = urldecode ( $redirect_url_raw );
header ( 'Location: ' . $redirect_url );
`
我已经验证了account_number,但仍然在xyz行上告诉我未验证的数据到HTTP重定向功能。允许未验证的输入来控制重定向中使用的URL可能有助于网络钓鱼攻击。在重定向中可以帮助进行网络钓鱼攻击。
请帮助我解决问题。