酷应用

URL跳转有哪些姿势？

百家作者：焦点安全应急响应中心 2021-02-26 19:46:11

前言

“FSRC经验分享”系列文章，旨在分享焦点安全工作过程中的经验和成果，包括但不限于漏洞分析、运营技巧、SDL推行、等保合规、自研工具等。
欢迎各位安全从业者持续关注~

0x01URL跳转及url跳转漏洞

随着网站的发展，功能越来越多，也需要依据不同的逻辑引向不同的页面，或和其他第三方应用交互。比如使用第三方账号进行登录，在登录时就会发生跳转；接入微信/支付宝支付功能，打开支付页面也会发生跳转。url跳转常见的几种情况如下：

meta标签跳转

<meta http-equiv="refresh" content="0.1; url=https://security.focuschina.com/">

JavaScript跳转

window.location.href = "https://security.focuschina.com/";

self.location = "https://security.focuschina.com/";

php header头跳转

<?php  header("Location: https://security.focuschina.com/");?>

url任意跳转漏洞也称url重定向漏洞。在跳转的过程中没有做好安全策略，网站对用户输入的参数没有校验或校验不合格，导致恶意参数被执行，将用户的页面引导至恶意第三方页面。如果本身网站允许跳转至外部网站，且在跳转至外部url时没有任何提示的话，表示存在此漏洞。

0x02URL跳转常见场景

URL跳转常见场景

用户登录、统一身份认证处、认证以后发生跳转
用户分享、收藏内容后会发生跳转
跨站点认证、在授权后会认证
站内对其他网站的链接，点击后会跳转

url跳转常见参数

redirect
redirect_to
redirect_url
url
jump
jump_to
target
to
link
linkto
domain
callback
fromurl
goto
oauth_callback

0x03URL跳转常见bypass

特殊符号绕过

# @绕过returnUrl=http://www.baidu.com@evil.com# .绕过returnUrl=http://www.baidu.com.evil.com# ？绕过returnUrl=http://www.evil.com?baidu.com#  #绕过returnUrl=http://www.evil.com#baidu.com

斜杠绕过

returnUrl=http://www.evil.com/baidu.com
returnUrl=http://www.evil.com\baidu.com
returnUrl=http://www.evil.com\\baidu.com

省略、更改协议名绕过

returnUrl=//www.evil.com
returnUrl=///www.evil.com
returnUrl=////www.evil.com
returnUrl=ftp://evil.com

白名单绕过

returnUrl=http://www.aaabaidu.com

xip.io绕过

xip.io是一个DNS解析网站，使用方法为域名+地址+xip.io

www.site.com.ip.xip.io = 访问该ip

http://www.made-in-china.com.220.181.38.148.xip.io/ = 访问 220.181.38.148（www.baidu.com）

returnUrl=http://www.baidu.com@evil.xip.io

ip绕过

returnUrl=http://115.159.231.173/baidu.com

进制绕过

returnUrl=http://664552783/sogou.com

二次跳转

t8CmYfaUtCzPWWQNNQcv2V&wd=&eqid=ad19508b002ee6cd000000045d8d64

A网站信赖 baidu.com 域名，baidu.com存在url跳转漏洞或任意被百度爬虫爬取到的页面（如焦点科技官网：https://www.baidu.com/link?url=jJh6wlE-6Q8xHCMjkjVhpR0aiS_Z2Erbx-Uma-yYe4t8CmYfaUtCzPWWQNNQcv2V）

http://www.a.com/xxx?returnUrl=https://www.baidu.com/link?url=jJh6wlE-6Q8xHCMjkjVhpR0aiS_Z2Erbx-Uma-yYe4t8CmYfaUtCzPWWQNNQcv2V&wd=&eqid=ad19508b002ee6cd000000045d8d64c2

畸形地址绕过

由于web站点采用各种各样的语言以及框架，所以绕过的方式各不相同

# 通过添加多余的“/”(%2F),然后对%2F二次URL编码绕过网站对.com的分割https://www.aaa.com/%2Fevil/%252Ecom# 通过添加4个“/”前缀和“/…”后缀，突破限制(重复特殊字符绕过)https://www.aaa.com/redirect.php?url=www.evil.com/..

0x04URL跳转的危害及定级

url跳转主要的利用方式是钓鱼。用户点击恶意url后，跳转至伪造成登录页的恶意网站，欺骗用户输入账号及密码。相比于同样需要用户点击的CSRF、反射XSS，后两者用户交互后可直接在浏览器中执行代码，且url仍为官方网站。而url跳转，首先进入的网站域名为非官方，且用户还需要手动输入自己的相关敏感信息，难以造成实际危害，因此按照【直接依赖于用户安全意识的漏洞】忽略处理。

此外还存在一种情况，网站存在跨域，为了提升用户体验，会在url跳转中带入登录凭证（如token）。这种url跳转一旦跳转至恶意网站，可以直接泄漏用户登录凭证，因此按照【需要交互才能获取用户身份凭证的漏洞】定为低危。

url跳转也可以结合其他漏洞，如可以结合XSS造成蠕虫、通过url跳转造成referer安全策略失效、通过fuzzing获取登录信息并拼凑最终达到登陆凭证劫持。此类漏洞我们会根据实际危害和最终结果，给出相应的奖励。

0x05修复建议

白名单

服务端做好域名白名单或跳转白名单，只对合法的URL进行跳转。

这是目前最常见的方法，但是需要注意正则的匹配规则，避免“www.aaabaidu.com”“www.baidu.com.evil.com”等情况发生。

参数加密和签名

对请求参数做加密和签名，防止参数被篡改，服务端要能合法正确的解析URL。

此种方式多应用在跳转的URL是由后台生产，不是用户在前台输入的场景，不常见。

进行token验证

保证所有的链接是可信域中的，加入用户不可控的token在服务端进行验证，防止恶意跳转。

修复成本较大，不常见。