问题描述:
在Java应用中,未经过严格验证的用户输入直接控制重定向URL,构成了严重的安全威胁。攻击者能够利用此漏洞,精心构造恶意URL,诱导用户跳转至钓鱼网站、下载恶意软件或泄露敏感信息。例如,未经验证的重定向功能允许黑客通过伪装可信链接诱骗用户点击,从而实施挂马、密码窃取等攻击。
案例分析:
应用程序允许未验证的用户输入控制重定向中的URL,攻击通过构建URL,使用户重定向到任意URL,利用这个漏洞可以诱使用户访问某个页面,挂马、密码记录、下载任意文件等,常被用来钓鱼。
*例如*:以下Servlet代码会接收前台的url参数,然后Servlet进行一系列业务操作后重定向到该链接,一般情况下这个链接可能是默认的,例如登陆处登陆成功后跳到首页,但是这种情况没有限制用户输入自定义的链接。
public class RedirectServlet extends HttpServlet { private List<String> safeUrls; // 预定义的安全URL列表 protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { ... String query = request.getQueryString(); if (query != null && query.contains("url")) { String url = request.getParameter("url"); if (safeUrls.contains(url)) { // 添加URL白名单验证 response.sendRedirect(url); } else { // 处理非法URL请求,如返回错误页 } } } }
常见的场景是受害者收到一封电子邮件,指示该用户打开http://trusted.example.com/ecommerce/redirect.asp?url=www.wilyhacker.com
链接,用户有可能会打开该链接,因为他会认为这个链接将转到可信赖的站点。然而,一旦用户打开该链接,上面的代码会将浏览器重定向至http://www.wilyhacker.com
。很多用户都被告知,要始终监视通过电子邮件收到的URL,以确保链接指向一个他们所熟知的可信赖站点。尽管如此,如果攻击者对目标URL进行16进制编码:http://trusted.example.com/ecommerce/redirect.asp?url=%77%69%6C%79%68%61%63%6B%65%72%2E%63%6F%6D
以提高用户辨别URL的难度。更糟糕的是像这样的url通过例如QQ等程序进行传输的时候,这些程序的安全机制是不能识别url参数中的危险链接的。
修复建议:
防止重定向漏洞的方法是创建一份合法URL列表,用户只能从中进行选择,进行重定向操作。
*例如*:以下Servlet代码先对url进行判断,再决定是否重定向到该链接。
public class RedirectServlet extends HttpServlet { protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException,IOException{ ... String query = request.getQueryString(); if (query.contains("url")) { String url = request.getParameter("url"); if(safeUrls.contains(url)){ response.sendRedirect(url); } ... } } }
解决方案:
为堵住这一安全漏洞,推荐实施严格的输入验证,并限制重定向至预定义的白名单URL。
缺陷代码示例:
private void updateCachePC(HttpServletRequest request, HttpServletResponse resp) { try { String goodsId = request.getParameter("goodsId"); ); //这段代码有问题 resp.sendRedirect(ConfigData.previewPcUrl + "goodsPC" + goodsId + ".html"); } catch (Exception e) { e.printStackTrace(); } }
缺陷修复代码示例:
对于特定场景下的重定向需求,改用转发而非重定向可提升安全性,如下所示:
private void updateCachePC(HttpServletRequest request, HttpServletResponse resp) { try { String goodsId = request.getParameter("goodsId"); // 使用转发而非重定向,增强控制和安全性 req.getRequestDispatcher(ConfigData.previewPcUrl + "goodsPC" + goodsId + ".html").forward(request, resp); } catch (Exception e) { getLogger().info("系统异常: {}", e.getMessage()); // 改善日志记录,避免打印堆栈跟踪到前端 } }
限制重定向至预定义的白名单URL示例
public class RedirectServlet extends HttpServlet { private List<String> safeUrls; // 预定义的安全URL列表 protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { ... String query = request.getQueryString(); if (query != null && query.contains("url")) { String url = request.getParameter("url"); if (safeUrls.contains(url)) { // 添加URL白名单验证 response.sendRedirect(url); } else { // 处理非法URL请求,如返回错误页 } } } }