6、URL跳转漏洞

1.1、定义

​ 服务端未对传入的跳转url 变量进行检查和控制，可能导致构造任意一个恶意地址，诱导用户跳转到恶意网站。由于是从可信的站点跳转出去的，用户会比较信任，所以跳转漏洞一般用于钓鱼攻击，通过转到恶意网站欺骗用户输入用户名和密码盗取用户信息，或欺骗用户进行金钱交易；还可以造成xss 漏洞。

攻击方式及危害

​ url跳转中最常见的跳转在登陆口，支付口，也有跳转目录的同样可以跳转URL。借助URL 跳转，也可以突破常见的基于“白名单方式”的一些安全限制，如传统IM 里对于URL 的传播会进行安全校验，但是对于大公司的域名或URL 将直接允许通过并且显示会可信的URL，而一旦该URL 里包含一些跳转漏洞将可能导致安全限制被绕过。如果引用一些资源的限制是依赖于“白名单方式”，同样可能被绕过导致安全风险，如，常见的一些应用允许引入可信站点，如baidu.com 的视频，限制方式往往是检查URL 是否是baidu.com 来实现，如果baidu.com 内含一个url 跳转漏洞，将导致最终引入的资源属于不可信的第三方资源或者恶意站点，最终导致安全问题。

漏洞检测

修改参数中的合法URL 为非法URL，然后查看是否能正常跳转或者响应包是否包含了任意的构造URL

参数	描述
redirect	重定向链接
url	URL 地址
redirectUrl	重定向 URL 地址
callback	回调链接
return_url	返回 URL 地址
toUrl	到达 URL 地址
ReturnUrl	返回 URL 地址
fromUrl	来源 URL 地址
redUrl	红色 URL 地址
request	请求链接
redirect_to	重定向到
redirect_url	重定向 URL 地址
jump	跳转链接
jump_to	跳转到链接
target	目标链接
to	到链接
goto	转至链接
link	链接
linkto	链接到链接
domain	域名
oauth_callback	OAuth 回调链接

绕过

例子：存在URL重定向漏洞的网站

• 绕过方式
  • @绕过：http://www.aaa.com/acbUrl=http://login.aaa.com@test.com，在火狐浏览器中会有弹窗提示，其他浏览器没有。
  • ?绕过：http://www.aaa.com/acb?Url=http://test.com?login.aaa.com
  • #绕过：http://www.aaa.com/acb?Url=http://test.com#login.aaa.com
  • /绕过：http://www.aaa.com/acb?Url=http://test.com/login.aaa.com
  • \绕过（两个反斜杠）：http://www.aaa.com/acb?Url=http://test.com\\login.aaa.com
  • \绕过（一个反斜杠）：http://www.aaa.com/acb?Url=http://test.com\login.aaa.com
  • \绕过（一个反斜杠 + 一个点）：http://www.aaa.com/acb?Url=http://test.com\.login.aaa.com
• 利用白名单缺陷绕过限制
  • http://www.aaa.com/acb?Url=http://login.aaa.com：利用白名单限制不全的漏洞。
• 多重验证&跳转绕过限制
  • http://www.aaa.com/acb?Url=http://login.aaa.com/acb?url=http://login.aaa.com：利用多重跳转绕过限制。
• 点击触发达到绕过URL 跳转限制
  • http://www.aaa.com/acb?Url=http://test.com：通过点击触发跳转绕过限制。
• xip.io绕过
  • http://127.0.0.1/url.php?username=1&password=1&redict=http://www.xiaozhupeiqi.com.220.181.57.217.xip.io：会跳转到百度。
• 白名单网站可信
  • 如果URL跳转点信任百度URL、Google URL或其他，则可以多次跳转达到自己的恶意界面。
• 协议绕过
  • http://127.0.0.1/url.php?username=1&password=1&redict=//www.xiaozhupeiqi.com@www.baidu.com：尝试协议转换绕过。