URL重定向漏洞解析
参考文章
- 悟空云课堂 | 第二期:URL重定向(跳转)漏洞
- CWE-601: URL Redirection to Untrusted Site ('Open Redirect')
- 分享几个绕过URL跳转限制的思路
- URL重定向(跳转)漏洞
- Tag: #URL重定向
- Ref: [[001.SSRF]]
概述
总结
一、漏洞介绍
URL重定向(URLredirection)漏洞,又称跳转漏洞。指的是网络应用程序接受用户可控的输入作为到外部站点的链接,然后在重定向中使用该链接。可以认为是SSRF一种。
二、漏洞原理
http参数可能包含URL值,并且可能导致Web应用程序将请求重定向到指定的URL。通过将URL值修改为恶意站点,攻击者可以成功启动网络钓鱼诈骗并窃取用户凭据。由于修改后的链接中的服务器名称与原始站点相同,因此网络钓鱼尝试具有更可信赖的外观。
常见的URL跳转代码如下
Java:
response.sendRedirect(request.getParameter("url"))
PHP:
$redirect\_url = $\_GET\['url'\]; header("Location: " . $redirect\_url)
.NET:
string redirect\_url = request.QueryString\["url"\]; Response.Redirect(redirect\_url);
Django:
redirect\_url = request.GET.get("url") HttpResponseRedirect(redirect\_url)
Flask:
redirect\_url = request.form\['url'\] redirect(redirect\_url)
Rails:
redirect\_to params\[:url\]
三、漏洞危害
- 网络钓鱼
即攻击者将漏洞用比较有名的域名伪装,用户没有注意到以此放心点击。被窃取敏感信息。 - 绕过保护机制;获取权限或假冒身份
用户的访问可能会被重定向到不可靠的网页。不可靠网页中可能存在恶意软件并可能攻陷用户电脑。一旦用户电脑被攻陷,用户就暴露在大量各种网络危机中。而且用户和网络服务器的交互也可能被攻陷,导致个人身份,密码等关键敏感信息的泄漏。
四、利用前提
- URL从用户可控制的输入中提取;
- 该URL未经验证,就被用于网络应用程序的重定向地址。
五、挖掘利用
1、描述
由于该类型的漏洞与语言无关,因此没有细致的分类。
2、挖掘
==常见于任何需要跳转处。
- 用户登录、统一身份认证处,认证完后会跳转
- 用户分享、收藏内容过后,会跳转
- 跨站点认证、授权后,会跳转
- 站内点击其它网址链接时,会跳转
- 图片上传处(暴露图片存放路径的,并且可以修改的情况下)
常见的参数名
redirect
redirect_to
redirect_url
url jump
jump_to
target
to
link
linkto
domain
可能性比较高的URL链接格式:http://www.aaa.com/bbb?url=http://ccc.com
,如果成功跳转指定的URL,说明存在URL跳转漏洞。
但是,如果没有成功跳转,不能说明不存在URL跳转漏洞。后台可能会对用户请求的链接进行处理。这里我们要尝试绕过。
aaa.com是含有URL重定向漏洞的网站, ccc.com是需要跳转到的网站。
1.利用问号绕过
格式:http://www.aaa.com/bbb?url=http://ccc.com?aaa.com
注意:一定要带上aaa.com
跳转后的url是http://ccc.com?aaa.com
2.利用反斜杠和正斜杠绕过
正斜杠
格式1:http://www.aaa.com/bbb?url=http://ccc.com/aaa.com
反斜杠
格式2:http://www.aaa.com/bbb?url=http://ccc.com\aaa.com
" . ":
格式3:http://www.aaa.com/bbb?url=http://ccc.com.aaa.com
3.利用@绕过
格式:http://www.aaa.com/bbb?url=http://aaa.com@ccc.com
疑似只有火狐浏览器可以使用该方法
4.利用白名单缺陷绕过
白名单的限制往往是不全面的。
例如该网站想跳转到自己的内部页面,而只检查跳转url中有没有白名单的内容。那么:http://www.aaa.com/bbb?url=http://cccaaa.com
购买cccaaa.com的域名,这样也是可以绕过的。
5.多重验证&跳转绕过
现在很多网站都有多重验证,比如你登陆账户后会出现另一个验证页面,输入手机验证码进行验证,此时这上面的URL很可能存在任意跳转的问题。
比如http://www.aaa.com/acb?Url=http: … ttp://login.aaa.com
当然,还有多重的,结构的多重跳转你修改最后面的URL就可以达到任意URL跳转,中间的URL就没必要动了。
6.点击触发实现绕过
很多登陆页面的地方,其URL是一个跳转的URL
如某一个登录页面,修改url:http://www.aaa.com/bbb?url=http://ccc.com
登录用户,有可能触发。
7.利用xip.io绕过
格式:http://www.aaa.com/bbb?url=http://www.aaa.com.ccc.com.xip.io
但是没有成功,暂且保留。
8.利用超链接绕过可信站点限制
比如一个URL,它是可以直接跳转的,但是一般测试跳转时大家习惯用www.baidu.com或qq.com这样的可信站点进行测试,但是有些网站是可以跳转这些网站的。
只要是可信站点且常用,基本都可以跳转,那么这就属于正常的业务逻辑了,难度就这样错失一个URL跳转漏洞了?
其实不然,只要你的URL被百度收录过,那么直接搜索你的域名,site:xxx.xxx
因为你在百度里点击你的域名,它会先是一个302跳转,而这个302跳转就是百度下的302跳转,那么这样就可以绕过可信站点的限制,从而达到跳转到指定URL。
当然,百度这个302有点长,你给它进行加密就行。
利用百度缓存链接,在其上再进行跳转
9.POST参数中的URL跳转
常见于上传图片、头像处。如果过滤不严,将会把图片的完整地址包含在POST参数里,这里我们修改其地址为ccc.com。
由于修改了地址,图片就会显示不出来,右键查看图片,就会触发URL跳转(可以配合其他绕过方式)
如果POST参数里就只是URL跳转参数,那么你可以给它转成GET方式,然后进行跳转就可以了,只要网站支持这样的GET方式就行。在Burp Suite里可以一键转换提交方式,右键选择Change request method就可以!
10.利用#号绕过
格式:http://www.aaa.com/bbb?url=http://ccc.com#aaa.com
11.其他绕过思路
1. 跳转到IP地址,而不是域名;
2. 跳转到IPV6地址,而不是IPv4地址;
3. 将要跳转到的IP地址用10进制、8进制、16进制形式表示;
4. 更换协议,使用ftp、gopher协议等;
5. 借鉴SSRF漏洞绕过的tricks;
6. CRLF注入不能xss时,转向利用任意URL跳转漏洞;
3、利用
修改请求链接。钓鱼、获取敏感信息。进一步扩大危害。
六、修复防范
-
从实现角度,进行输入验证:对输入的信息进行验证。 比如说使用已知的有效输入验证机制,或是制定严格的说明来规范输入的信息等等。对于不符合规范的输入,或者是拒绝接受,或者对输入进行转换净化,让它符合规范要求。
-
从体系架构和设计上防范该安全漏洞,并尽量减少暴露的攻击面。
七、提出问题
与SSRF类似,不知道两者有何区别。