假设有一个网站不安全:http://www.unsafe.com
但是有个安全网站的某个地址只做重定向,而且不进行任何内部判断(或者说是安全判断),那么只要将不安全网站作为其参数,就可以绕开钓鱼网站判定机制。如:
http://redirect.safe.com?ReturnUrl=http://www.unsafe.com
浏览该地址,的确会在安全网站上做一次操作,但是将完成一个重定向动作,重定向结果将是不安全网站。
这样的情况会发生在登录的情况,有的登录界面会有一个ReturnUrl作为参数标识。
假设:http://www.safe.com/login.aspx?ReturnUrl=http://www.safe.com/default.aspx
按照正常的流程,将会在登录成功后跳转到default.aspx页面,但是如果将这里写为重定向到一个伪安全页面,如:
http://www.safe.com/login.aspx?ReturnUrl=http://202.123.1.2
那么在登录后,将会见到一个非安全的页面,而这时候用户通常难以察觉或者已经中招。(病毒/钓鱼/骗流量等)
如果在QQ中传播该网址的话,仍然会仅以www.safe.com为唯一标识,并认定为受信任网站,以导致用户的点击与病毒的传播。
总结
在站点中通过URL参数做重定向,将直接给非法网站提供机会。
<%@ Page Language="C#" AutoEventWireup="true" CodeBehind="Default.aspx.cs" Inherits="WebAppUnsafeRedirect._Default" %>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" >
<head runat="server">
<title>Unsafe Redirect</title>
</head>
<script runat="server">
private void btnLogin_Click(object sender, EventArgs e)
{
if (CheckUser(txtUsername.Text, txtPassword.Text))
{
string redirectUrl = Request.QueryString["ReturnUrl"] ?? "http://volnet.cnblogs.com?key=demo-unsafe-redirect";
Response.Redirect(redirectUrl);
}
}
</script>
<body>
<form id="form1" runat="server">
<div>
<asp:TextBox ID="txtUsername" runat="server"></asp:TextBox><br />
<asp:TextBox ID="txtPassword" runat="server" TextMode="Password"></asp:TextBox><br />
<asp:Button ID="btnLogin" runat="server" Text="Login"
onclick="btnLogin_Click" /><br />
</div>
</form>
</body>
<script runat="server">
private bool CheckUser(string userName, string password)
{
if (userName == "User1" && password == "Password")
{
return true;
}
return false;
}
</script>
</html>