静态代码扫描问题修复之--（输入验证 重定向[Java]）

问题描述:

        在Java应用中，未经过严格验证的用户输入直接控制重定向URL，构成了严重的安全威胁。攻击者能够利用此漏洞，精心构造恶意URL，诱导用户跳转至钓鱼网站、下载恶意软件或泄露敏感信息。例如，未经验证的重定向功能允许黑客通过伪装可信链接诱骗用户点击，从而实施挂马、密码窃取等攻击。

案例分析:

应用程序允许未验证的用户输入控制重定向中的URL,攻击通过构建URL，使用户重定向到任意URL，利用这个漏洞可以诱使用户访问某个页面，挂马、密码记录、下载任意文件等，常被用来钓鱼。

*例如*：以下Servlet代码会接收前台的url参数，然后Servlet进行一系列业务操作后重定向到该链接，一般情况下这个链接可能是默认的，例如登陆处登陆成功后跳到首页，但是这种情况没有限制用户输入自定义的链接。

public class RedirectServlet extends HttpServlet {
    private List<String> safeUrls; // 预定义的安全URL列表
​
    protected void doGet(HttpServletRequest request, HttpServletResponse response)
            throws ServletException, IOException {
        ...
        String query = request.getQueryString();
        if (query != null && query.contains("url")) {
            String url = request.getParameter("url");
            if (safeUrls.contains(url)) { // 添加URL白名单验证
                response.sendRedirect(url);
            } else {
                // 处理非法URL请求，如返回错误页
            }
        }
    }
}

常见的场景是受害者收到一封电子邮件，指示该用户打开http://trusted.example.com/ecommerce/redirect.asp?url=www.wilyhacker.com链接，用户有可能会打开该链接，因为他会认为这个链接将转到可信赖的站点。然而，一旦用户打开该链接，上面的代码会将浏览器重定向至http://www.wilyhacker.com。很多用户都被告知，要始终监视通过电子邮件收到的URL，以确保链接指向一个他们所熟知的可信赖站点。尽管如此，如果攻击者对目标URL进行16进制编码：http://trusted.example.com/ecommerce/redirect.asp?url=%77%69%6C%79%68%61%63%6B%65%72%2E%63%6F%6D以提高用户辨别URL的难度。更糟糕的是像这样的url通过例如QQ等程序进行传输的时候，这些程序的安全机制是不能识别url参数中的危险链接的。

修复建议:

防止重定向漏洞的方法是创建一份合法URL列表，用户只能从中进行选择，进行重定向操作。

*例如*：以下Servlet代码先对url进行判断，再决定是否重定向到该链接。

public class RedirectServlet extends HttpServlet {
​
  protected void doGet(HttpServletRequest request, HttpServletResponse response) throws  ServletException,IOException{
​
    ...
​
    String query = request.getQueryString();
​
    if (query.contains("url")) {
​
      String url = request.getParameter("url");
​
      if(safeUrls.contains(url)){
​
        response.sendRedirect(url);
​
      }
​
      ...
​
    }
​
  }
​
}
​

解决方案:

为堵住这一安全漏洞，推荐实施严格的输入验证，并限制重定向至预定义的白名单URL。

缺陷代码示例:

 private void updateCachePC(HttpServletRequest request, HttpServletResponse resp) {
        try {
            String goodsId = request.getParameter("goodsId");          );
            //这段代码有问题
            resp.sendRedirect(ConfigData.previewPcUrl + "goodsPC" + goodsId + ".html");
        } catch (Exception e) {
            e.printStackTrace();
        }
    }

缺陷修复代码示例:

对于特定场景下的重定向需求，改用转发而非重定向可提升安全性，如下所示：

private void updateCachePC(HttpServletRequest request, HttpServletResponse resp) {
    try {
        String goodsId = request.getParameter("goodsId");
        // 使用转发而非重定向，增强控制和安全性
        req.getRequestDispatcher(ConfigData.previewPcUrl + "goodsPC" + goodsId + ".html").forward(request, resp);
    } catch (Exception e) {
        getLogger().info("系统异常: {}", e.getMessage()); // 改善日志记录，避免打印堆栈跟踪到前端
    }
}

限制重定向至预定义的白名单URL示例

public class RedirectServlet extends HttpServlet {
    private List<String> safeUrls; // 预定义的安全URL列表
​
    protected void doGet(HttpServletRequest request, HttpServletResponse response)
            throws ServletException, IOException {
        ...
        String query = request.getQueryString();
        if (query != null && query.contains("url")) {
            String url = request.getParameter("url");
            if (safeUrls.contains(url)) { // 添加URL白名单验证
                response.sendRedirect(url);
            } else {
                // 处理非法URL请求，如返回错误页
            }
        }
    }
}