URL重定向及跳转漏洞

Posted leeyongbard

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了URL重定向及跳转漏洞相关的知识,希望对你有一定的参考价值。

URL跳转漏洞

   URL 跳转漏洞是指后台服务器在告知浏览器跳转时,未对客户端传入的重定向地址进行合法性校验,导致用户浏览器跳转到钓鱼页面的一种漏洞。

使用场景

   现在 Web 登录很多都接入了QQ、微信、新浪等第三方登录,以 QQ 第三方授权登录为例说明,在我们调用 QQ 授权服务器进行授权时,会在参

数中传入redirect_url(重定向)地址,告知 QQ 授权服务器,授权成功之后页面跳转到这个地址,然后进行站点登录操作。但是如果你的重定向地址在

传输过程中被篡改成了一个钓鱼网址,那么就是导致用户的授权信息被非法获取。当然,QQ 第三方登录,也会有自己的策略,就是接入 QQ 第三方

登录的应用,会在开发者平台,配置相关的跳转白名单,只有属于白名单中的域名、子域名或 url ,QQ授权服务器才跳转,如果发现 redirect_url 不

合法,则跳转到非法页面。

防御策略

   根据上面的场景分析,我们知道,之所以会出现跳转 URL 漏洞,就是因为服务端没有对客户端传递的跳转地址进行合法性校验,所以,预防这种攻

击的方式,就是对客户端传递过来的跳转 URL 进行校验。

 

常用的方式:

服务端配置跳转白名单或域名白名单,只对合法的 URL 做跳转

 

下面是关于php服务端对客户端传递过来的跳转 URL 进行校验的代码:

<?php

// $allowedDomains 表示允许跳转的url白名单
$allowedDomains = array(
		"aaaa.com"
		"bbbb.com"
		.......	
	);
function encodeUrl($urlInfo)
    {/*{{{*/
        $path = isset($urlInfo[‘path‘]) ? $urlInfo[‘path‘] : ‘‘;
        if(!empty($path))
        {
        	$t = explode("/", $path);
        	
        	for($i = 0; $i < count($t); $i++)
        	{
        		$t[$i] = rawurlencode($t[$i]);        		
        	}
        	$path = implode("/", $t);
        }
    	$query = isset($urlInfo[‘query‘]) ? $urlInfo[‘query‘] : ‘‘;
        if(!empty($query))
        {
        	$t = explode("&", $query);
        	
        	for($i = 0; $i < count($t); $i++)
        	{
        		$tt = explode("=", $t[$i]);
        		$tt[1] = rawurlencode($tt[1]);
        		$t[$i] = implode("=", $tt);        		
        	}
        	$query = implode("&", $t);
        }
        if(!isset($urlInfo[‘host‘]) || empty($urlInfo[‘host‘]))
        {
        	return $path. "?". $query;
        }
        $scheme = isset($urlInfo[‘scheme‘]) ? $urlInfo[‘scheme‘] : ‘http‘;
        $port = isset($urlInfo[‘port‘]) ? $urlInfo[‘port‘] : 80;

        
        $request = $scheme . ‘://‘. $urlInfo[‘host‘];
        $request .= ($port == 80) ? ‘‘ : ‘:‘.$port;
        $request .= $path;
        $request .= (empty($query)) ? ‘‘ : ‘?‘.$query;
        return $request;
    }/*}}}*/
	
function checkUrl($url,$domainArr=array())
	{/*{{{*/
		$res = array(‘isTrustedDomain‘ => false,‘url‘ => ‘‘,‘domain‘ => ‘‘);
		if(empty($url))		return $res;
		$domainArr = empty($domainArr) || !is_array($domainArr) ? $allowedDomains : $domainArr;
		$url	  = filterUrl($url);//先过滤特殊字符
		$p      = parse_url($url);
		$scheme = $p[‘scheme‘];
		if(!in_array(strtolower($scheme),array(‘http‘,‘https‘))){
			return $res;
		}
		
		$host   = $p[‘host‘];
		if(!isValidHost($host)){
			return $res;
		}
		$hostLen = strlen($host);
		foreach($domainArr as $domain){
			$firstPos = strpos($host, $domain);
			if($firstPos !== false && ($firstPos + strlen($domain)) == $hostLen){
				
				if($firstPos == 0 || $domain[0] == ‘.‘ || $host[$firstPos-1] == ‘.‘){
					$res[‘isTrustedDomain‘] = true;
					$res[‘url‘] 		  				= $url;
					$res[‘domain‘] 				= $domain;
					break;
				}
			}
		}
		return $res;
	}/*}}}*/

function filterUrl( $url )
	{/*{{{*/
		if(empty($url)) return $url;
		// Strip all of the javascript in script tags out...
		$url = preg_replace(‘/<SCRIPT.*?</SCRIPT>/ims‘,"",$url);
		// Strip all blank character
		$url = preg_replace(‘/[sv]+/‘,"",$url);
		//Strip special characters(‘,",<,>,)
		$url = str_replace(array("‘",""","<",">","\"),‘‘,$url);
		return $url;
	}/*}}}*/

function isValidHost($host)
	{/*{{{*/
		$p = "/^[0-9a-zA-Z-.]+$/";
		return preg_match($p,$host) ? true : false;
	}/*}}}*/
	
$url = "https://www.baidu.com";
$call_back_url = trim($url);
$call_back_url = encodeUrl(parse_url(urldecode($call_back_url)));
$res = checkUrl($call_back_url, $domainArr);

var_dump($res);

  

以上是关于URL重定向及跳转漏洞的主要内容,如果未能解决你的问题,请参考以下文章

实战之授权站点漏洞挖掘-url重定向

URL重定向漏洞,python打造URL重定向漏洞检测脚本

常见WEB攻击之URL跳转漏洞

Pikachu-URL重定向

pikachu靶场-重定向目录遍历敏感信息泄露

如何解决DedeCMS 5.7SP1 /plus/download.php url重定向漏洞