post请求跳转页面_安全小课堂第134期【浅谈URL跳转漏洞的挖掘与防御】

最新推荐文章于 2023-09-12 14:04:40 发布
最新推荐文章于 2023-09-12 14:04:40 发布
阅读量646 收藏 1
点赞数
文章标签: post请求跳转页面 sendredirect不跳转 thinkphp3 页面跳转外部链接 url ip跳转域名 url地址拼接 url拼接参数

随着业务发展,越来越多的Web应用需要与公司内部其他应用甚至外部第三方应用交互,将用户引导至不同功能页面。在不同功能页面跳转的过程中难免出现一种常见且利用门槛较低的漏洞——URL跳转漏洞,该漏洞像XSS一样有多种绕过方式,防御过程中也常出现意想不到的情况。

JSRC 安全小课堂第134期,邀请到ChangeS师傅就URL跳转漏洞的挖掘与防御为大家进行分享。同时感谢白帽子们的精彩讨论。

b70465924f64598f2f8556de86927c02.gif

f5aa776caee29458fc2595ea6e0559df.png

URL跳转漏洞的危害和利用方式是什么?

京安小妹

df5d6b863358b0e357624782f4f9a7fc.png

ChangeS:

URL跳转漏洞本质上是利用Web应用中带有重定向功能的业务,将用户从一个网站重定向到另一个网站。其最简单的利用方式为诱导用户访问http://www.aaa.com?returnUrl=http://www.evil.com,借助www.aaa.com让用户访问www.evil.com,这种漏洞被利用了对用户和公司都是一种损失。对于安全意识较低的用户,当他们从聊天工具、论坛回帖等地方遇到上述链接时,根据链接的开头部分用户会认为打开之后是aaa公司的业务,尤其当www.aaa.com是耳熟能详的大型互联网公司时,用户的防备心理会更小,打开之后无论怎么跳转,用户都可能认为是值得信任的,当www.evil.com是钓鱼页面时,用户也可能毫不犹豫地输入用户名和密码登录网站。跳转链接再配合上“点击领取满100减99优惠券”、“点击领取免费会员”等诱惑性文字,恶意散播在论坛、聊天群中,难免会有用户上当受骗。若再配合编码、短网址等转换,即使有防范意识的用户也可能分不清链接中www.aaa.com之后的一大串参数是什么意思,总之认准aaa公司就对了。在一些即时聊天工具中,对于用户发送的网站链接会有安全性检测功能,对其附上“安全可访问”或者“危险请勿点击”的标记。借助可信域名www.aaa.com和其网站中的URL跳转漏洞,无论是恶意网站evil1还是evil2,都能以http://www.aaa.com?returnUrl=http://www.xxx.com的形式躲过聊天工具的检测算法,给用户造成安全可信的错觉,一旦用户访问之后发生财产损失,对于aaa公司和聊天软件公司都会造成名誉损害,降低公司产品在用户心中的可信度。若在跳转的过程中,通过代码向跳转目标网站拼接了请求参数和值,一旦跳转目标被修改成恶意网站,这些参数会被泄漏到恶意网站,进一步造成损失。比如正常跳转链接为http://www.aaa.com?returnUrl=http://order.aaa.com,后端代码会给其拼接上?token=LJK321JL321J3L,这样实现了跳转结束之后通过实时生成的token可查询订单,若该业务存在URL跳转漏洞,链接最终就被修改为http://www.aaa.com?returnUrl=http://www.evil.com?token=LJK321JL321J3L,实时随机生成的token信息就被泄漏到evil的服务器,若被进一步恶意利用,将会对公司业务造成更多损失。URL跳转漏洞在各家SRC中通常被定级为低危漏洞,但其利用方式及其简单,技术门槛低,常被黑产利用进行钓鱼、诈骗等目的,也可作为渗透测试的起点,通过跳转收集数据之后再进一步挖掘更深层的漏洞。

讲师

f5aa776caee29458fc2595ea6e0559df.png

URL跳转漏洞常出现在哪些业务点?

京安小妹

df5d6b863358b0e357624782f4f9a7fc.png

ChangeS:

寻找URL跳转漏洞,只需要思考哪些功能需要进行跳转。登录功能一直是URL跳转漏洞的重灾区,用户访问网站某个业务,当涉及到账号角色权限的时候一定需要跳转到登陆界面,为了确保用户体验认证结束之后需要自动返回用户之前浏览的页面。这一去一回之间就产生了URL跳转漏洞的隐患。举个例子,比如用户正在访问http://www.aaa.com/detail?sku=123456的商品,添加购物车时触发登录操作,跳转到统一登陆认证页面进行登录,这时的访问链接为http://login.aaa.com?returnUrl=http://www.aaa.com/detail?sku=123456,认证成功之后浏览器继续返回商品详情页面方便用户进行购买操作。若login.aaa.com对returnUrl参数检查不严格甚至未检查,通过该链接可跳转至任意网站。

d018e5a1e6e08476c813bf726c26c48e.png

登录之后302跳转到百度首页,此处returnUrl未进行任何检查,可任意跳转到第三方页面。与登录功能同理,网站的退出功能同样存在URL跳转漏洞的风险。其他类似的跳转功能还有短信验证码认证之后跳转、分享或者收藏之后跳转、给第三方授权之后跳转,他们的共同特点都是从一个页面为了某种操作进入另一个页面,操作之后返回原页面继续浏览。有的多步操作业务中,点击下一步按钮时会传递fromUrl参数,该参数会成为返回上一步的超链接,如下所示:

48e607659f9ba048a10386deacbed432.png

甚至有的业务中callback参数也存在URL跳转漏洞。常见的参数值有return、redirect、url、jump、goto、target、link等,平时挖漏洞的过程中不妨关注下请求中是否含有比较完整的URL地址,对该类参数进行下测试。

讲师

f5aa776caee29458fc2595ea6e0559df.png

URL跳转漏洞都有哪些挖掘姿势?

京安小妹

df5d6b863358b0e357624782f4f9a7fc.png

Changes:

先给大家看下最简单情况的开发代码,最简单的情况是没有任何检查,传入什么就跳转到什么,类似java代码如下:

String url = request.getParameter("returnUrl");response.sendRedirect(url); ChangeS(28709166)15:57:54

不管传进来是什么,统统重定向,这也是挖掘难度最低的

再进一步会在代码中判断是否为目标域名,但开发小哥哥们喜欢用字符串包含来判断,类似java代码如下:

String url = request.getParameter("returnUrl");if (url.indexOf("www.aaa.com") !=-1){   response.sendRedirect(url);}

对于上述的字符串检测操作,均可以用欺骗手法绕过判断。简单可用的payload如下所示:

http://www.aaa.com?returnUrl=http://www.aaa.com.evil.com

http://www.aaa.com?returnUrl=http://www.evil.com/www.aaa.com

http://www.aaa.com?returnUrl=http://www.xxxaaa.com

若再配合URL的各种特性符号,绕过姿势可是多种多样。比如

利用问号?:

http://www.aaa.com?returnUrl=http://www.evil.com?www.aaa.com

利用反斜线\:

http://www.aaa.com?returnUrl=http://www.evil.com\www.aaa.com

http://www.aaa.com?returnUrl=http://www.evil.com\\www.aaa.com

利用@符号:

http://www.aaa.com?returnUrl=http://www.aaa.com@www.evil.com

利用井号#:

http://www.aaa.com?returnUrl=http://www.evil.com#www.aaa.com

http://www.aaa.com?returnUrl=http://www.evil.com#www.aaa.com?www.aaa.com

缺失协议:

http://www.aaa.com?returnUrl=/www.evil.com

http://www.aaa.com?returnUrl=//www.evil.com

多次跳转,即aaa公司信任ccc公司,ccc公司同样存在漏洞或者提供跳转服务:

http://www.aaa.com?returnUrl=http://www.ccc.com?jumpto=http://www.evil.com

实际挖掘过程中还可以将上述方法混合使用,甚至使用URL编码、ip地址替代域名等手段。上述介绍的挖掘姿势以GET请求为例,但其在POST请求中也同样适用。

讲师

f5aa776caee29458fc2595ea6e0559df.png

这类漏洞如何防御呢?

京安小妹

df5d6b863358b0e357624782f4f9a7fc.png

ChangeS:

防御该漏洞最有效的方法之一就是严格控制将要跳转的域名。如果某个业务事先已经确定将要跳转的网站,最稳妥的方式是将其直接编码在源代码中,通过URL中传入的参数来映射跳转网址。比如传入jumpto=1则跳转到order.aaa.com,传入jumpto=2则跳转到detail.aaa.com,传入预期之外的参数直接报错即可。但该方式可扩展性很差,随着业务不断发展,将会给开发工作添加额外的麻烦。通用性较好的做法是严格限制子域名,只能在公司内的业务之间跳转,在java中可使用下列方案:

String url =request.getParameter("returnUrl");String host = "";try {   host = new URL(url).getHost();} catch (MalformedURLException e) {   e.printStackTrace();}if host.endsWith(".aaa.com"){   //跳转}else{   //不跳转,报错}

上述代码中主要校验了客户端传来的returnUrl参数值,使用java.net.URL包中的getHost()方法获取了将要跳转URL的host,判断host是否为目标域,上述代码中限制了必须跳转到xxx.aaa.com的域名,即只能是aaa公司的子域名,如果业务可以确定跳转范围,可以将判断条件限制的更加严格,写成host.endsWith(".order.aaa.com"),从而排除了跳转到不可信域名的可能。不同的编程语言中都会有类似的工具包,借助这些工具包来获取将要跳转的域名再进一步判断限制即可。也有表哥建议限制referer、添加token,这样可以避免恶意用户构造跳转链接到处散播,但我认为修复该漏洞最根本的方法还是上述的严格检查跳转域名。

讲师

f5aa776caee29458fc2595ea6e0559df.png

URL跳转漏洞防御过程中都有哪些坑?

京安小妹

df5d6b863358b0e357624782f4f9a7fc.png

ChangeS:

‍‍刚才我们提到可以借助编程语言中的工具包来获取returnUrl的域名,对该域名进行严格限制,在java中可以使用java.net.URL包中的getHost()方法。但在实际使用过程中,这些工具包可能无法做到准确无误地取出域名,还需对代码进行反复测试验证。getHost()方法可以被反斜线绕过,即returnUrl=http://www.evil.com\www.aaa.com会被代码认为是将要跳转到.aaa.com,而实际在浏览器中反斜线被纠正为正斜线,跳转到www.evil.com/www.aaa.com,最终还是跳到www.evil.com的服务器。使用下列代码进行测试:

public class Main {    public static void main(String[] args) {       String url = "https://www.evil.com\\www.aaa.com?x=123";       String host = "";       try {           host = new URL(url).getHost();       } catch (MalformedURLException e) {           e.printStackTrace();       }       System.out.println("host---"+host);       System.out.println("url---"+url);    }}
url参数的域名getHost()之后是www.aaa.com还是www.evil.com呢?打印结果如下:

cd10ed01a4b9020dc2af70b49c9b9aae.png

该结果会被endsWith(“.aaa.com”)方法判断为真,从而成功执行跳转,但实际在浏览器中www.evil.com\www.aaa.com被纠正为www.evil.com/www.aaa.com,成功跳转到了www.evil.com网站,该问题在目前所有JDK中都存在。这是个挖掘姿势哦,getHost方法还有另一个坑。getHost()方法的结果在不同JDK版本中对井号#的处理结果不同,通常井号被用作页面锚点,对于https://www.evil.com#www.aaa.com?x=123这个url,较高版本的JDK中,取出结果为www.evil.com,低版本中为www.evil.com#www.aaa.com,从而低版本又可绕过endsWith(“.aaa.com”)方法,成功跳转。这里所说的高版本指的是java version 1.8.0_181或者java version1.7.0_161中的181和161,与JDK7还是8无关。可能java在某个时间集中修复了JDK6/7/8中的URL库。测试过程中发现1.6.0_45,1.7.0_71,1.8.0_25均可被#绕过,即不同的JDK中低版本均存在问题。通过对比rt.jar---java---net--URLStreamHandler.java代码(低版本为左边,高版本为右边)找到问题所在如下图所示,代码中的start为url中冒号位置,limit为url中井号位置:

8453294d067849a79e9f7269cb46dd83.png

从代码中可以发现,低版本中未考虑到一个完整url中斜线/或者问号?之前会出现井号#的情况,如果url中有斜线/或者问号?,取host就以斜线或者问号为终止,即使中间包含井号也不处理;而高版本中进行了井号位置的判断,排除了使用井号绕过的可能。使用井号配合斜线或者问号来绕过域名检测,即将target设置为URL编码后的https://www.baidu.com#www.aaa.com?x=123,该站即可302跳转到百度。

7dab53b194630d09feb62d4495edf8a4.png再送一个真实例子,同一段代码在不同JDK版本中打印出的host值不同,在低版本中包含了井号及其后边的部分。

209a751895c56bc51049e1374448cd94.png

e9999fc92917087298e96f5b4df310bf.png

89ac18f5db4d48144e34bd01e8b1097e.png

大家可以看出来,host的打印结果是不一样的。

综合上述两个坑,若想使用getHost()来修复任意URL跳转漏洞,需要考虑到反斜线和井号绕过,可使用如下代码:

String url = request.getParameter("returnUrl");String host = "";try {   url = url.replaceAll("[\\\\#],"/"); //替换掉反斜线和井号   host = new URL(url).getHost(); } catch (MalformedURLException e) {   e.printStackTrace();}if host.endsWith(".aaa.com"){   //跳转}else{   //不跳转,报错}

可见,编程语言自带的原生包也并不一定可以放心使用,其他语言或许也存在类似的问题,需要经过各方面测试验证才能找到较好的防御方案,攻与防是相辅相成的,只有在不断挖掘漏洞和防御漏洞的过程中踩坑才能有所收获。

讲师

本期 JSRC 安全小课堂到此结束。更多内容请期待下期安全小课堂。如果还有你希望出现在安全小课堂内容暂时未出现,也欢迎留言告诉我们。

安全小课堂的往期内容开通了自助查询,点击菜单栏进入“安全小课堂”即可浏览。

 ef79e6b39fc2261e1f6a529e66714ed4.png

2c904aa4fb8bdb2eaf1f8cfe5a63999e.png

简历请发送:anquan@jd.com

微信公众号:jsrc_team

新浪官方微博:京东安全应急响应中心

weixin_39957934
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
漏洞挖掘】——48、 URL攻防原理
Fly_鹏程万里
06-07 57
基本介绍URL是指当用户访问一个URL(统一资源定位符)时,服务器将用户重定向到另一个URL的过程,这种重定向可以是临时的(HTTP 302)或永久的(HTTP 301),并且可以在同一域名下或不同域名之间进行,如果网站接受用户输入的链接并到一个攻击者控制的网站,那么将有可能导致过去的用户被精心设置的钓鱼页面骗走自己的个人信息和登录口令常见场景URL通常用于以下情况:网站重定向:用户站内点击其它网址链接时会认证和授权:用户登录、统一身份认证处,认证完后会临时永久。
JDSRC-Small-Classroom:京东SRC小课堂系列文章
04-13
JDSRC-Small-Classroom 京东SRC小课堂系列文章 一句话,受益颇深,相当于和不同的人进行了一次隔空交流。 中间缺失的小课堂内容可能原因:内容与安全无关/内容重复/内容太水,总共8个无效文档缺失。 github一次性可以上传100个文件,虽然可以多次上传,但为避免顺序混乱,其他文档通过百度网盘永久分享出来,会持续更新哈。 京东SRC小课堂系列文章101-140 链接: 提取码:t280
通过Post方式从A页面到B页面并在B页面接收参数
u011265702的博客
04-10 2168
做的一个功能是在A页面导入excel文件,导入成功后到B页面,并在B页面显示导入的数据 A页面: var url ="AInfo.aspx"; var params = { "参数名称": response.d}; Post1(url, params); function Post1(url, params) { // 创建form元素 var temp_form = document.createElement("form"); // 设
JS使用POST方式HTML页面
培根芝士的专栏
07-21 3449
模拟FORM表单来提交POST请求
post请求页面
热门推荐
lixu_csdn的博客
06-27 1万+
1.系统是ssm框架,前台传递js数组之后再返回当前页刷新数据,使用window.href不合适太长的参数,普通的jQuery post请求又不会页面,所以从网上大佬看的解决方案是设置表单post方式提交 function createDocument1(obj) { $.ajax({ url: "xxx1.do",// ...
Post请求页面
zhangxiaojun211的博客
01-29 3295
现在的需求: 用JavaScript 控制POST的数据内容并到B页面,类似ExtJS的standardSubmit功能 需求决定我们不能在页面上使用form来提交数据.因为提交的数据是页面上几个Div的全部HTML内容(实际上是富文本编辑器).使用jQuery的.html()方法取得这些HTML内容. 现在想到的思路是使用jQuery 在内存中建立一个form对象,然后调用这个对象的s...
Ajax post请求页面
10-20
在某些场景下,我们需要在发送Ajax POST请求后根据服务器返回的结果进行页面,但又希望避免在URL中暴露请求的参数,以确保数据的安全性。本文将详细介绍如何实现Ajax POST请求后安全地页面。 首先,传统的...
layui使用form表单实现post请求页面的方法
10-16
本文将详细介绍如何使用layui的form表单实现POST请求并进行页面,以确保数据安全且避免信息泄露。 通常,通过`window.location.href`的方式添加参数进行页面会将数据暴露在URL中,这可能带来安全风险。为了...
在Js页面通过POST传递参数到新页面详解
10-19
主要给大家介绍了关于在Js页面通过POST传递参数到新页面的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧。
挖洞技巧:如何绕过URL限制
zhangge3663的博客
03-12 8529
大家对URL任意都肯定了解,也知道他的危害,这里我就不细说了,过~ 大家遇到的肯定都是很多基于这样的格式:http://www.xxx.xxx/xxx?xxx=http://www.xxx.xxx/xxxxx 基本的思路大家就是直接替换后面的URL来检测是否存在任意URL,如果不存在,就直接返回到它自己的域名,如果存在,就到你指定的URL。 这里我讲述我所知道的所以小点。 ...
用form表单以post的方式提交数据地址
最新发布
dulei_start的博客
09-12 1797
enctype: 表单数据提交时使用的编码类型,默认使用"pplication/x-www-form-urlencoded",如果是使用POST请求,则请求头中的content-type指定值就是该值。如果表单中有上传文件,编码类型需要使用"multipart/form-data",类型,才能完成传递文件数据。2、post:enctype 默认"application/x-www-form-urlencoded"对表单数据进行编码,数据以键值对在http请求体重发送给服务器;
cefsharp 发送请求服务器_web请求和常用对象|乐字节
weixin_39897749的博客
11-25 743
一、目标预览常用对象的意义和作用请求的发出方式数据的发送和接收方式方式乱码的解决二、请求的方式要访问服务器首先需要由客户端主动发出请求,在实际的操作中,我们可以通过多种方式向服务器发起请求。根据不同的场景需求,使用不同的请求方式可以达到不同的效果。1. 地址栏输入在浏览器地址栏直接输入要访问的地址即可,此种方式可以看做是访问服务器的起始操作。http://ip:port/path2. 超链接使...
php post请求页面页面页面页面,php如何使用post页面
weixin_28972529的博客
03-27 982
php使用post页面的方法:首先定义post处理页面url;然后获取当前页面url,并解析url;接着获取url中的参数部分,将querycan参数解析到数组变量;最后循环拼接表单项,构造表单并。php使用post页面的方法:大家知道php可以利用header('Location')实现get请求。php利用curl可以实现模拟post请求。但是却找不到php现成的实现post...
post
大坤
01-14 146
$.extend({ StandardPost:function(url,args){ var body = $(document.body), form = $("<form method='post'></form>"), input; form.attr({"action":url...
js页面参数过长用post请求页面
weixin_44903107的博客
07-27 606
js用post请求页面
java post页面_java通过模拟表单实现post
weixin_35502173的博客
02-12 593
今天在实现一个功能时发现参数太长了,用redirect无法实现,想改成post提交参数。java自身的api貌似无法实现,最后查到可以用模拟一个表单提交参数的方式实现。代码如下:增加http请求工具类import javax.servlet.http.HttpServletResponse;import java.io.IOException;import java.io.PrintWrite...
什么是url漏洞
qq_30503389的博客
06-02 1213
URL漏洞是一种Web应用程序安全问题,指的是在应用程序处理URL时,由于程序员的疏忽或设计不当,攻击者可能通过构造恶意URL来实现对应用程序的攻击。
使用post请求页面
07-14
使用 POST 请求进行页面是不常见的做法,因为 POST 请求通常用于提交表单或发送数据到服务器,而不是用于直接页面。一般情况下,页面更适合使用 GET 请求。 不过,如果你确实需要在 POST 请求后进行页面,你可以使用以下方法之一: 1. 通过提交表单实现:创建一个包含目标页面 URL 的隐藏表单字段,并使用 JavaScript 在提交表单时触发页面。例如: ```html <form id="redirectForm" action="https://example.com/new-page" method="post"> <!-- 表单字段 --> <input type="hidden" name="data" value="some data"> </form> <script> document.getElementById('redirectForm').submit(); // 提交表单 </script> ``` 这将在页面加载完成后自动提交表单并进行 POST 请求,然后浏览器将根据表单的 `action` 属性到目标页面。 2. 使用 JavaScript 动态创建 POST 请求:通过 JavaScript 创建一个 POST 请求,并在请求成功后使用 `window.location.href` 进行页面。例如: ```javascript var xhr = new XMLHttpRequest(); xhr.open("POST", "https://example.com/new-page", true); xhr.setRequestHeader("Content-Type", "application/x-www-form-urlencoded"); xhr.onreadystatechange = function() { if (xhr.readyState === XMLHttpRequest.DONE && xhr.status === 200) { window.location.href = "https://example.com/new-page"; // 到目标页面 } }; xhr.send("data=some data"); ``` 请注意,这种方法需要在 JavaScript 中手动设置请求的头部和数据,并在请求成功后执行页面。 无论使用哪种方法,都要确保在进行页面之前检查请求的状态码和其他必要条件。此外,还需要注意处理可能出现的错误和异常情况,以保证代码的稳定性和安全性。 总的来说,POST 请求并不是常见的页面方式,更适合用于提交表单或发送数据。在大多数情况下,GET 请求更适合用于页面
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值