URL重定向漏洞绕过总结
2022-11-2 09:3:1 Author: 我不是Hacker(查看原文) 阅读量:22 收藏

cckuailong

读完需要

5
分钟

速读仅需 2 分钟

1

漏洞定义

URL 重定向漏洞(URL redirection vulnerability),是一种常见的 Web 安全漏洞,由于网站 URL 重定向功能设计不当,没有验证跳转的目标 URL 是否合法,用户可通过此漏洞跳转到任意网站,这会导致可通过该网站跳转到存在木马、病毒的网站或者钓鱼网站,损害网站用户权利、网站名誉。

2

挖掘思路

就是直接替换后面的 URL 来检测是否存在任意 URL 跳转,如果不存在,就直接返回到它自己的域名,如果存在,就跳转到你指定的 URL。下面将通过具体例子进行绕过手法演示。

3

演示前提说明

受害网址:http://www.victim.com/action?url=http://victim.com攻击网址:http://attack.top (220.123.456.789)

4

绕过方式

4.1

?

http://www.victim.com/action?url=http://attack.top?victim.com

4.2

\

http://www.victim.com/action?url=http://attack.top#victim.com

4.3

@

http://www.victim.com/action?url=http://[email protected]

原理 http://username:[email protected] ( http://username:[email protected] )

4.4

反斜杠 && 正斜杠

http://www.victim.com/action?url=http://attack.top/victim.comhttp://www.victim.com/action?url=http://attack.top\victim.comhttp://www.victim.com/action?url=http://attack.top\.victim.com

4.5

白名单缺陷

注册 attackvictim.com 域名

http://www.victim.com/action?url=http://attackvictim.com

4.6

多重跳转

http://www.victim.com/action?url=http://aa.victim.com/action2?url=http://attack.top

4.7

点击触发

修改 url 为

http://www.victim.com/action?url=http://attack.top

点击登录等按钮后,触发跳转

4.8

xip.io

访问内网(SSRF)

http://www.victim.com/action?url=http://www.127.0.0.1.xip.io

钓鱼

http://www.victim.com/action?url=http://www.qq.com.220.123.456.789.xip.io

4.9

可信站点超链接

比如一个 URL,它是可以直接跳转的,但是一般测试跳转时大家习惯用 www.baidu.com 或 qq.com 这样的可信站点进行测试,但是有些网站是可以跳转这些网站的。只要是可信站点且常用,基本都可以跳转,那么这就属于正常的业务逻辑了,难度就这样错失一个 URL 跳转漏洞了?其实不然,只要你的 URL 被百度收录过,那么直接搜索你的域名,site:xxx.xxx.因为你在百度里点击你的域名,它会先是一个 302 跳转,而这个 302 跳转就是百度下的 302 跳转,那么这样就可以绕过可信站点的限制,从而达到跳转到指定 URL。当然,百度这个 302 有点长,你给它进行加密就行。

4.10

POST 参数

当然,这个影响就很小了,比如当你填什么表格或者需要填写什么的,当你上传图片,点击下一步的时候,通常下一步就是预览你填写的信息,最后才是提交。当你上传了图片后点击下一步抓包,如果过滤不严,你会看到图片的完整地址包含在 POST 参数里,你就可以直接修改这个地址为任意 URL,然后到达下一步。这时是确定信息也就是预览自己填写的信息的正确还是不正确,由于你刚刚修改了图片地址,这里是没有显示出来的,图像会是一个小 XX。当点击图片右键选择查看图像时,就会触发 URL 跳转问题,其实这个也可以利用来进行钓鱼,钓后台审核员的信息。为什么呢,比如审核看到图片无法加载,一般都会点击查看图片,然后跳转,如果安全意识不知就会造成安全影响。当然,如果 POST 参数里就只是 URL 跳转参数,那么你可以给它转成 GET 方式,然后进行跳转就可以了,只要网站支持这样的 GET 方式就行。在 Burp Suite 里可以一键转换提交方式,右键选择 Change request method 就可以!

5

参考链接

http://www.vkxss.top/2019/07/20/%E6%B8%97%E9%80%8F%E6%B5%8B%E8%AF%95-%E5%A6%82%E4%BD%95%E7%BB%95%E8%BF%87URL%E9%99%90%E5%88%B6/index.html


文章来源: http://mp.weixin.qq.com/s?__biz=MzkwNDI1NDUwMQ==&mid=2247486385&idx=1&sn=d47baa5800ab8bd9ec3fc8d6c0b1b9b9&chksm=c0888efbf7ff07ed6e65d40ad3969fcc24e9e3749ef581588b43b7e96011c48bd2280a141860#rd
如有侵权请联系:admin#unsafe.sh