渗透测试中的 URL 重定向

本文为信安之路内部 wiki 第 144 篇文章，注册解锁全部文章

开放重定向（Open Redirect），也叫URL跳转漏洞，是指服务端未对传入的跳转url变量进行检查和控制，导致诱导用户跳转到恶意网站，由于是从可信的站点跳转出去的，用户会比较信任。

渗透测试中的 URL 重定向

常见的 URL 重定向漏洞都比较明显，但是也有少数例外，这里总结了三种常见的 URL重定向类型。

这是最常见的，通过修改参数中的跳转地址，查看是否重定向到我们指定的页面，比如：

通常为了提高用户的体验，在用户登录之后，往往会跳转至原来的访问页面，比如：

https://example.com/login?returnUrl=/dashboard

登录之后会跳转至 /dashboard，并且是以登录后的身份，这时我们可以测试是否会跳转目标以外的网站，比如：

https://example.com/login?returnUrl=https://www.xazlsec.com

如果登录成功之后，跳转至信安之路的网站，那么该漏洞就存在。

实现 URL 重定向，除了在 header 中设置 Location 字段外，还有两种实现方式：

1、Meta 标签，代码如下：

<head>  <meta http-equiv="Refresh" content="0; URL=https://example.com/" /></head>

2、javaScript 代码：

window.location = "https://example.com/";

如果是这两种方式实现 URL 跳转，而 URL 参数可控，则可能存在 XSS 漏洞。

JavaScript 可以直接从浏览器获取数据。Web 浏览器中的 URL，例如：

https://example.com/#dashboard

dashboard 不会被发送至后端，如果页面中使用如下 JavaScript 代码：

// use substr() to remove the '#'window.location = window.location.hash.substr(1)

攻击者可以创建如下链接：

https://example.com/#https://www.xazlsec.com

访问之后将跳转至信安之路的网站。

URL 重定向漏洞修复

可以将需要跳转的页面，保存至数据库，然后用对应的 id 进行跳转，比如：

https://example.com/redirect?externalPage=1https://example.com/redirect?externalPage=2https://example.com/redirect?externalPage=3

如果只是重定向到本网站的页面，可以使用页面命名方案，比如：

https://example.com/redirect?page=dashboardhttps://example.com/redirect?page=accounthttps://example.com/redirect?page=settings

方案二：正则表达式

正则表达式的方案，无需操作数据库，但是设置不好容易被绕过，比如下面的案例：

redirect_url = urlparse.urlparse(url)# 漏洞参数原因，仅匹配 url前缀if bool(re.search("^https://example.com", url)):

只是搜索 url 中是否包含 https://example.com 且以它为开头，可以用下面的 poc 绕过：

https://example.com/redirect?page=https://example.com.evil-hackers.corp.com

要使用正则表达式，使用尾部斜杠以防止恶意使用子域:

redirect_url = urlparse.urlparse(url) #修复后，限定完整域名if bool(re.search("^https://example.com/", url)):

这样就确保不会重定向到设置之外的域。

有些功能设计之初就是为了能够跳转至任意网站，比如一些推广功能，这种情况下，最基本的也要对跳转的协议做限制，比如只允许跳转以 https?:// 开头的网站。

在跳转至外部网站时，设置提示，提醒用户，比如：

总结

URL 重定向本身并不是坏事，但您必须采取措施确保用户都知道发生的外部重定向，并在必要时尽量减少重定向到的目标。

原文始发于微信公众号（信安之路）：渗透测试中的 URL 重定向