pikachu靶场___URL重定向漏洞教程

1、靶场环境搭建使用

详见 https://blog.csdn.net/qq_41584172/article/details/1030201090x00

2、URL重定向漏洞背景介绍

由于应用越来越多的需要和其他的第三方应用交互，以及在自身应用内部根据不同的逻辑将用户引向到不同的页面，譬如一个典型的登录接口就经常需要在认证成功之后将用户引导到登录之前的页面，整个过程中如果实现不好就可能导致一些安全问题，特定条件下可能引起严重的安全漏洞。

3、URL重定向漏洞原理

对于URL跳转的实现一般会有几种实现方式：

META标签内跳转
javascript跳转
header头跳转

通过以GET或者POST的方式接收将要跳转的URL，然后通过上面的几种方式的其中一种来跳转到目标URL。一方面，由于用户的输入会进入Meta，javascript，http头所以都可能发生相应上下文的漏洞，如xss等等，但是同时，即使只是对于URL跳转本身功能方面就存在一个缺陷，因为会将用户浏览器从可信的站点导向到不可信的站点，同时如果跳转的时候带有敏感数据一样可能将敏感数据泄漏给不可信的第三方。

譬如一个典型的登录跳转如下：

<?php

$url=$_GET['jumpto'];

header("Location: $url");

?>

如果jumpto没有任何限制，所以恶意用户可以提交

http://www.wooyun.org/login.php?jumpto=http://www.evil.com

来生成自己的恶意链接，安全意识较低的用户很可能会以为该链接展现的内容是www.wooyun.org从而可能产生欺诈行为，同时由于QQ，淘宝旺旺等在线IM都是基于URL的过滤，同时对一些站点会一白名单的方式放过，所以导致恶意URL在IM里可以传播，从而产生危害，譬如这里IM会认为www.wooyun.org都是可信的，但是通过在IM里点击上述链接将导致用户最终访问evil.com。

4、URL重定向漏洞危害

恶意用户完全可以借用URL跳转漏洞来欺骗安全意识低的用户，从而导致“中奖”之类的欺诈。
url跳转比较直接的危害是:钓鱼,既攻击者使用漏洞方的域名(比如一个比较出名的公司域名往往会让用户放心的点击)做掩盖,而最终跳转的确实钓鱼网站。

5、案例演示

依次点击圈中的连接，在第4个发现发现
http://192.168.59.135/pikachu/vul/urlredirect/urlredirect.php?url=i
将i修改为其他的URL，就直接跳转了。
http://192.168.59.135/pikachu/vul/urlredirect/urlredirect.php?url=http://www.baidu.com

6、修复方案

理论上讲，url跳转属于CSRF的一种，我们需要对传入的URL做有效性的认证，保证该URL来自于正确的地方，限制的方式同防止csrf一样可以包括：

1 referer的限制

如果确定传递URL参数进入的来源，我们可以通过该方式实现安全限制，保证该URL的有效性，避免恶意用户自己生成跳转链接

2 加入有效性验证Token

我们保证所有生成的链接都是来自于我们可信域的，通过在生成的链接里加入用户不可控的Token对生成的链接进行校验，可以避免用户生成自己的恶意链接从而被利用，但是如果功能本身要求比较开放，可能导致有一定的限制。