概述
这章节描述了如何测试客户端的url重定向,也成为开放重定向(open redirection)。这是一种输入检测的漏洞,当应用接收用户控制的输入(指向某个外部链接)时可能存在此漏洞。这种漏洞能够被用来进行钓鱼攻击或重定向受害者到攻击页面。
这个漏洞在应用接收含有url的不可信输入且不进行过滤时发生。这个url可以使用户重定向到其他页面。
这个漏洞可能使攻击者发起钓鱼攻击且偷取用户凭据。由于重定向来自合法的网站,网络钓鱼攻击可能看起来更加可信。
这里是一个钓鱼攻击url的例子:
http://www.target.site?#redirect=www.fake-target.site
访问此url的用户会自动跳转到fake-target.site,它是由攻击者生成的网页。重定向也可以被用来构造一个绕过网站访问检查url,使攻击者访问一般无法访问的功能。
如何测试
当测试者手动检查这种类型的漏洞,第一件要确认是否在客户端代码中有重定向。这些重定向可能使用window.location实现(以JS为例子)。这能够使浏览器跳转到其他页面,通过简单分配一个字符串。以下代码段对此进行了演示:
var redir = location.hash.substring(1);
if (redir)
window.location='http://'+decodeURIComponent(redir);
在此例子中,这个脚本并没执行任何对参数redir的验证,此参数含有用户通过查询字符串提供的输入。由于没有使用编码,这个未验证的输入传递给了windows.location
,从而导致了重定向漏洞。
这意味着,攻击者可以重定向用户到一个恶意网站,通过简单的提交以下语句:
http://www.victim.site/?#www.malicious.site
通过简单的修改,上面的举例的代码段可以受到js注入漏洞的攻击。
var redir = location.hash.substring(1);
if (redir)
window.location=decodeURIComponent(redir);
这个能够通过提交以下语句进行利用:
http://www.victim.site/?#javascript:alert(document.cookie)
当测试这种漏洞时,要考虑某些字符会被不同浏览器不同对待。有关参考dom-based xss
小结
简单地说,只要有跳转页面的地方,检查是否可以控制,然后再输入几个url看是否跳转。