任意URL跳轉(zhuǎn)漏洞簡(jiǎn)介
服務(wù)端未對(duì)傳入的跳轉(zhuǎn)url變量進(jìn)行檢查和控制�,導(dǎo)致可惡意構(gòu)造任意一個(gè)惡意地址,誘導(dǎo)用戶跳轉(zhuǎn)到惡意網(wǎng)站���。由于是從可信的站點(diǎn)跳轉(zhuǎn)出去的�����,用戶會(huì)比較信任��,所以跳轉(zhuǎn)漏洞一般用于釣魚(yú)攻擊�,通過(guò)轉(zhuǎn)到惡意網(wǎng)站欺騙用戶輸入用戶名和密碼盜取用戶信息�����,或欺騙用戶進(jìn)行金錢(qián)交易��。
URL跳轉(zhuǎn)漏洞也叫開(kāi)放重定向�����,如下面的格式的url
https://example.com/login?return=https://mysite.com/
漏洞危害
URL跳轉(zhuǎn)漏洞本身屬于低危漏洞�����,但可以結(jié)合其他漏洞加以深入利用����,主要的利用方式不僅限于釣魚(yú)攻擊,包括:
xss漏洞:通過(guò)javascript:alert(0)或CRLF���;
獲取用戶權(quán)限(偽造釣魚(yú)網(wǎng)站��、竊取登錄憑證token)�����;
繞過(guò)檢測(cè)(竊取CSRF token��,繞過(guò)SSRF�����、RCE黑名單)�;
高級(jí)利用方法(配合其他功能/漏洞)�����。
實(shí)戰(zhàn)案例
登錄后重定向泄露會(huì)話令牌
redirect_url參數(shù)未經(jīng)任何過(guò)濾����,在登錄后界面����,請(qǐng)求鏈接:
https://test.com/login?redirect_url=https://mysite.com�����,頁(yè)面會(huì)被重定向到:
https://www.mysite.com/?user=xxx&token=xxxx&channel=mijnwerkenbijdefensie
導(dǎo)致用戶ID和會(huì)話令牌泄露����,從而接管整個(gè)賬號(hào)。
Tips:關(guān)注登錄后的登錄請(qǐng)求url�����。
挖掘技巧
在實(shí)際滲透過(guò)程中�����,可以在抓包歷史中搜索返回狀態(tài)碼為302的請(qǐng)求包����,業(yè)務(wù)層面����,根據(jù)之前的挖掘經(jīng)驗(yàn)���,大多數(shù)的跳轉(zhuǎn)漏洞都發(fā)生在登錄功能處,其他存在漏洞的功能處有:注冊(cè)�、注銷(xiāo)、改密�,第三方應(yīng)用交互,頁(yè)面切換����,業(yè)務(wù)完成跳轉(zhuǎn)、返回上級(jí)����、賬號(hào)切換、保存設(shè)置�、下載文件等等。
總體來(lái)講����,要觀察哪些功能需要進(jìn)行跳轉(zhuǎn),并關(guān)注任何涉及跳轉(zhuǎn)操作的URL���,常見(jiàn)的參數(shù)值有return�、redirect、url����、jump、goto�����、target��、link���、callback等���,輸入任意URL地址看是否可以任意跳轉(zhuǎn),若后臺(tái)進(jìn)行過(guò)濾��,探測(cè)過(guò)濾算法��,嘗試過(guò)濾繞過(guò)��。
過(guò)濾繞過(guò)
假設(shè)跳轉(zhuǎn)鏈接http://www.xxx.com?url=http://test.com
其中http://test.com為正常跳轉(zhuǎn)鏈接
惡意釣魚(yú)鏈接為fishing.com��,ip地址為192.168.1.1
@符號(hào)繞過(guò)
http://www.xxx.com?url=http://test.com@fishing.com
問(wèn)號(hào)繞過(guò)
http://www.xxx.com?url=http://fishing.com?test.com
# 繞過(guò)
http://www.xxx.com?url=http://fishing.com#test.com
正反斜杠繞過(guò)
http://www.xxx.com?url=http://fishing.com/test.com
http://www.xxx.com?url=http://fishing.com\test.com
http://www.xxx.com?url=http://fishing.com\\test.com
http://www.xxx.com?url=http://fishing.com\.test.com
白名單
部分網(wǎng)站對(duì)跳轉(zhuǎn)做了內(nèi)容檢測(cè)���,比如白名單允許包含fish字符的鏈接通過(guò)����,那么我們就能找包含fish的鏈接就行跳轉(zhuǎn)�����。
http://www.xxx.com?url=http://fishing.com
多重跳轉(zhuǎn)
例如 網(wǎng)站存在跳轉(zhuǎn)http://www.xxx.com?url=http://test.com,但是限制僅限于xxx.com,那么我們?yōu)榱诉_(dá)到目的可以先跳轉(zhuǎn)到xxx.com����,在跳轉(zhuǎn)到fishing.com
http://www.xxx.com?url=http://test.com?url=fishing.com
功能觸發(fā)跳轉(zhuǎn)
某些時(shí)候在修改鏈接后加載沒(méi)反應(yīng),可能需要觸發(fā)某功能來(lái)進(jìn)行跳轉(zhuǎn)���,比如登錄�����,刪除等��,具體看跳抓鏈接處于那個(gè)功能點(diǎn)���。
xip.io繞過(guò)
http://www.xxx.com?url=http://test.com.192.168.1.1.xip.io
協(xié)議繞過(guò)
刪除或切換http和https����,或者增加多個(gè)斜杠
http://www.xxx.com?url=//fishing.com#test.com
http://www.xxx.com?url=///fishing.com#test.com
xss跳轉(zhuǎn)
xss情況比較多���,根據(jù)實(shí)際情況而定
防御手段
1�、最有效的方法之一就是使用白名單嚴(yán)格控制將要跳轉(zhuǎn)的域名�,如:
function checkURL ( sURL) {
return(/^(https?:\/\/)?[\w-.]+.(yourDomainA|yourDomainB|yourDomainC).com($|\/|\)/i).test(sUrl)||(/^[\w][\w\/.-_%]+$/i).test(sUrl)||(/^[\/\][^\/\]/i).test(sUrl)? true : false;}
2、限制referer�、添加token,這樣可以避免惡意用戶構(gòu)造跳轉(zhuǎn)鏈接進(jìn)行散播����。
該文章在 2025/5/23 12:09:02 編輯過(guò)
400 186 1886
