浅谈“URL重定向漏洞”

一：漏洞名称：

URL重定向、跳转漏洞

描述：

服务端未对传入的跳转url变量进行检查和控制，可能导致可恶意构造任意一个恶意地址，诱导用户跳转到恶意网站。由于是从可信的站点跳转出去的，用户会比较信任，所以跳转漏洞一般用于钓鱼攻击，通过转到恶意网站欺骗用户输入用户名和密码盗取用户信息，或欺骗用户进行金钱交易；也可能引发的XSS漏洞（主要是跳转常常使用302跳转，即设置HTTP响应头，Locatioin: url，如果url包含了CRLF，则可能隔断了http响应头，使得后面部分落到了http body，从而导致xss漏洞）。另外在struts2 中存在重定向的漏洞，是因为struts2由于缩写的导航和重定向前缀“action:”、 “redirect:”、 “redirectAction:” 等参数前缀的内容没有被正确过滤导致的开放式重定向漏洞。

检测条件：

1. 已知Web网站具有登录页面。
2. 网站内部点击链接进行跳转

检测方法：

1. 首先找到网站相关url中存在跳转链接的参数（常见的有登陆页面）。
2. 在检测的同时，可以修改参数中的合法URL为非法URL，然后查看是否能正常跳转或者通过抓包工具获取其HTTP响应头中host:的值是否包含了任意的构造URL。
3. 如果是struts2重定向漏洞，则可通过web扫描工具扫描发现，或者手工验证，直接在URL后添加?redirect:+指定钓鱼链接，例如：10.1.82.53:9098/admin/login.action?redirect:http://diaoyu.com进行验证，或者：http://host/struts2-blank/example/X.action?action:%25{3*4}如图所示，则证明存在URL重定向漏洞：

 

漏洞修复：

以下为针对URL重定向漏洞的修复建议：：

1. 若跳转的URL事先是可以确定的，包括url和参数的值，则可以在后台先配置好，url参数只需传对应url的索引即可，通过索引找到对应具体url再进行跳转；
2. 若跳转的URL事先不确定，但其输入是由后台生成的（不是用户通过参数传人），则可以先生成好跳转链接然后进行签名，而跳转cg首先需要进行验证签名通过才能进行跳转；

若1和2都不满足，url事先无法确定，只能通过前端参数传入，则必须在跳转的时候对url进行按规则校验：即控制url是否是公司授权的白名单或者是符合公司规则的url，参考代码：

function checkURL ( sURL) {
        return (/^(https?:\/\/)?[\w\-.]+\.(yourDomainA|yourDomainB|yourDomainC)\.com($|\/|\\)/i).test
(sUrl)||(/^[\w][\w\/\.\-_%]+$/i).test(sUrl)||(/^[\/\\][^\/\\]/i).test(sUrl) ? true : false;   
    }

 

其他补充说明：

来自：https://www.hetianlab.com/expc.do?ec=ECID1a0b-d5dd-4763-acb0-ea7658c5c488

由于web应用越来越多的需要和其他的第三方应用交互，以及在自身应用内部根据不同的逻辑将用户引向到不同的页面，譬如一个典型的登录接口就经常需要在认证成功之后将用户引导到登录之前的页面，整个过程中如果实现不好就可能导致一些安全问题，特定条件下可能引起严重的安全漏洞。

对于URL跳转的实现一般会有几种实现方式：

1.META标签内跳转

2.javascript跳转

3.header头跳转

通过以GET或者POST的方式接收将要跳转的URL，然后通过上面的几种方式的其中一种来跳转到目标URL。一方面，由于用户的输入会进入Meta，javascript，http头所以都可能发生相应上下文的漏洞，如xss等等，但是同时，即使只是对于URL跳转本身功能方面就存在一个缺陷，因为会将用户浏览器从可信的站点导向到不可信的站点，同时如果跳转的时候带有敏感数据一样可能将敏感数据泄漏给不可信的第三方。

譬如一个典型的登录跳转如下：

<?php

$url=$_GET['jumpto'];

header("Location: $url");

?>

如果jumpto没有任何限制，所以恶意用户可以提交

http://www.baidu.com/login.php?jumpto=http://www.evil.com

来生成自己的恶意链接，安全意识较低的用户很可能会以为该链接展现的内容是www.baidu.com从而可能产生欺诈行为，同时由于QQ，淘宝旺旺等在线IM都是基于URL的过滤，同时对一些站点会一白名单的方式放过，所以导致恶意URL在IM里可以传播，从而产生危害，譬如这里IM会认为www.baidu.com都是可信的，但是通过在IM里点击上述链接将导致用户最终访问evil.com。

恶意用户完全可以借用URL跳转漏洞来欺骗安全意识低的用户，从而导致“中奖”之类的欺诈，这对于一些有在线业务的企业如淘宝等，危害较大，同时借助URL跳转，也可以突破常见的基于“白名单方式”的一些安全限制，如传统IM里对于URL的传播会进行安全校验，但是对于大公司的域名及URL将直接允许通过并且显示会可信的URL，而一旦该URL里包含一些跳转漏洞将可能导致安全限制被绕过。

如果引用一些资源的限制是依赖于“白名单方式”，同样可能被绕过导致安全风险，譬如常见的一些应用允许引入可信站点如youku.com的视频，限制方式往往是检查URL是否是youku.com来实现，如果youku.com内含一个url跳转漏洞，将导致最终引入的资源属于不可信的第三方资源或者恶意站点，最终导致安全问题。

  漏洞通常发生在以下几个地方：

1. 用户登录、统一身份认证处，认证完后会跳转 

2. 用户分享、收藏内容过后，会跳转 

3. 跨站点认证、授权后，会跳转

4. 站内点击其它网址链接时，会跳转 

   常见的可能产生漏洞的参数名：redirect，redirect_to，redirect_url，url，jump，jump_to，target，to，link，linkto，domain

以下3个博主写的灰常不错呦~值得见解

安全小课堂第134期【浅谈URL跳转漏洞的挖掘与防御】

URL 跳转漏洞的利用技巧

URL重定向漏洞