漏洞信息

URL重定向漏洞是由于目标网站未对程序跳转的URL地址及参数做合法性判断，导致应用程序直接跳转到参数中指定的的URL地址。

攻击者可通过将跳转地址修改为指向恶意站点。

比较容易出现的地方是登录、注册、访问订单信息、以及一些需要回到上个页面的地方。

此漏洞通常用于发起网络钓鱼、诈骗甚至窃取用户凭证等。

下面是一个比较典型的场景

漏洞本身是无法直接危害系统和用户安全的，按照通用漏洞定级标准属于低危，但该漏洞可被利用于钓鱼，在工信部远程检测工作中，该漏洞定义为高危。

漏洞检测

url重定向漏洞的检测初看会很像SSRF漏洞的检测：

但是仔细思考一下会发现这样并不合理，因为url重定向漏洞的跳转是针对客户端的，而客户端的跳转并不只有302一种方式，还是一些方式是使用其他浏览器前端的方式来完成跳转。

跳转方式

常见的跳转方式一共有三类（本质上是两类：一种http头，一种JS操作）

• HTTP 响应头：

• Location  最常见的302跳转
• Refresh 表示浏览器应该在多少时间之后刷新文档，以秒计。类似Refresh: 5;URL=https://yaklang.com/

• meta 标签：

  meta标签实现跳转的本质就是为添加一个指定的头，这个标签可以可以添加Refresh头，类似<meta http-equiv="refresh" content="5;URL=https://yaklang.com/">

• JS(location)

  JS操作页面主要是操作 window.location对象，比如 window.location.href ="https://yaklang.com/"

上述的检测方式只能检测到HTTP响应头直接跳转的情况，如果跳转是通过前端来完成，缺少浏览器渲染解析的扫描插件就无法检测出来。

整体流程

针对插件检测漏洞来说，就需要通过分析请求响应包来确定漏洞是否存在。

检测参数与确认输出位置

url重定向漏洞的出现位置一般来说场景相对复杂，参数量不会太少，直接无脑对所有参数进行测试是不太合适的，应该筛选部分可疑的参数进行测试，期望的效果会更好。

参数检测只有两个标准，一个是参数名是否敏感，一个是参数值是否为url或者path。

在Yaklang里有着完善的测试基础设施，re库下的函数可以很简单的检测出第二标准

len(re.ExtractURL(value) > 0 ||  len(re.ExtractPath(value))
            

获取到需要检测的参数，首先需要去定位参数输出的位置，可以使用原值拼接随机字符串的方式来构造特征字符串，这样产生的字符串大概率合法。

检查漏洞

获取到拥有输出信息位置后的可疑参数后，开始对每一个参数进行测试。不同的位置采用不同的测试手法，但是本质上就是两个阶段：

• 找到可能会被用于跳转的 输出值
• 解析输出值(url)的host是否是预期的

这里着重介绍一下JS的部分

JS解析

Yaklang依靠了成熟的轻量级在 Go 语言中嵌入 JavaScript 解释器的库——"otto"，对其封装后Yaklang可以解析一段JS代码成为AST。

本插件对JS的解析就是通过AST遍历，找到会自动执行的location重定向语句。

下面是对Expression节点解析的代码

expressionCheck = func(stat,payload){
    node = stat
    inerType = js.GetSTType(stat)
    if inerType == "ExpressionStatement"{
        inerType = js.GetSTType(stat.Expression)
        node = stat.Expression
    }
    switch inerType {
        case "CallExpression":
            if js.GetSTType(node.Callee) == "DotExpression"{
                if DotExprCheck(node,payload){
                    return true
                }
            }else if js.GetSTType(node.Callee) == "Identifier"{
                if node.Callee.Name == "setTimeout"{
                    if js.GetSTType(node.ArgumentList[0]) == "FunctionLiteral"{
                        if jsAstCheck(node.ArgumentList[0].Body.List,payload){
                            return true
                        }
                    }
                    if expressionCheck(node.ArgumentList[0],payload){
                        return true
                    }
                }
                
            }
        case "AssignExpression":
            if js.GetSTType(node.Left) == "DotExpression"{
                if AssignExprCheck(node,payload){
                    return true
                }
            }
    }
}

针对Vulinbox中几个漏洞检测

Yakit  v1.2.3-sp4

Yaklang 1.2.4-sp1/sp2

More