0x00 相关背景介绍5 S( p! I$ j1 T) `. o7 F5 v: X0 P
( Z( n" A5 c0 u' l7 ~8 x+ Z由于应用越来越多的需要和其他的第三方应用交互,以及在自身应用内部根据不同的逻辑将用户引向到不同的页面,譬如一个典型的登录接口就经常需要在认证成功之后将用户引导到登录之前的页面,整个过程中如果实现不好就可能导致一些安全问题,特定条件下可能引起严重的安全漏洞。
& }) H% |% j- o- s+ W7 p) u3 L- x6 ]" a( _
0x01 成因
; K* g) v' d- R7 B& r( C' o" c9 ~& v0 o9 ~% f
对于URL跳转的实现一般会有几种实现方式:% e, ]4 l" j$ P
; [& h. q3 X# W8 j) _+ _$ QMETA标签内跳转
; O2 H" x& J7 v8 g% Gjavascript跳转
2 s$ o! o% ^! @# i5 L0 Yheader头跳转 6 [$ N6 W1 ~3 V0 D+ i
& \2 z) h; b5 R* i6 q2 f
8 U( [' h- A ~( M- b通过以GET或者POST的方式接收将要跳转的URL,然后通过上面的几种方式的其中一种来跳转到目标URL。一方面,由于用户的输入会进入 Meta,javascript,http头所以都可能发生相应上下文的漏洞,如xss等等,但是同时,即使只是对于URL跳转本身功能方面就存在一个缺 陷,因为会将用户浏览器从可信的站点导向到不可信的站点,同时如果跳转的时候带有敏感数据一样可能将敏感数据泄漏给不可信的第三方。
2 W5 R* {! a$ Y. H/ O" } Y' s
" b8 k$ s! B" F* D譬如一个典型的登录跳转如下:% d2 S* b# B7 Q, B
9 }6 w C Y) J, {2 q# Q<?php $url=$_GET['jumpto']; header("Location: $url"); ?>如果jumpto没有任何限制,所以恶意用户可以提交
4 _ B! I% e( c+ P: t
+ ]* j& \) @0 z7 j( S/ e( jhttp://www.xxx.net/login.php?jumpto=http://www.evil.com来生成自己的恶意链接,安全意识较低的用户很可能会以为该链接展现的内容是www.wooyun.org从而可能产生欺诈行为,同时由于QQ,淘宝 旺旺等在线IM都是基于URL的过滤,同时对一些站点会一白名单的方式放过,所以导致恶意URL在IM里可以传播,从而产生危害,譬如这里IM会认为 www.wooyun.org都是可信的,但是通过在IM里点击上述链接将导致用户最终访问evil.com。! Q6 c2 H D5 q
k, m3 S9 H/ l$ `0x02 攻击方式及危害
& W' @' \) B, x, X$ k" `5 H+ Y* D, e0 ^1 @! _
恶意用户完全可以借用URL跳转漏洞来欺骗安全意识低的用户,从而导致“中奖”之类的欺诈,这对于一些有在线业务的企业如淘宝等,危害较大,同时借 助URL跳转,也可以突破常见的基于“白名单方式”的一些安全限制,如传统IM里对于URL的传播会进行安全校验,但是对于大公司的域名及URL将直接允 许通过并且显示会可信的URL,而一旦该URL里包含一些跳转漏洞将可能导致安全限制被绕过。0 q" o8 G% b. ~6 ?3 ]: R* |
j9 c# Z8 Q: }# L( G6 @% ~如果引用一些资源的限制是依赖于“白名单方式”,同样可能被绕过导致安全风险,譬如常见的一些应用允许引入可信站点如youku.com的视频,限 制方式往往是检查URL是否是youku.com来实现,如果youku.com内含一个url跳转漏洞,将导致最终引入的资源属于不可信的第三方资源或 者恶意站点,最终导致安全问题。 |' e G* e$ s1 T) s
5 r' i8 V5 }2 `# w- X0x03 实际案例
! e1 Q7 n5 i7 R* y3 S& @2 Q+ G
: K2 G5 F) S. n* X8 u9 aa WooYun: 百度一个URL跳转漏洞
' ^: p. C2 }3 ^3 d' s& C9 L
4 X e+ Z. w8 g$ `通过url跳转突破IM的安全校验,从而传播恶意URL) a0 U2 x9 C" H' _; | m( k
; z' R0 O e: b4 G$ O) d7 rb WooYun: 第五次遇到利用淘宝网网址跳转的网钓; \* A* O% C2 G$ O$ f" i$ o
0 b7 p" M% U/ k# K: r- Y0 s5 g
通过url跳转欺骗交易用户对URL的信任,从而实现欺诈' b5 j3 y% {0 E$ D+ ~2 i( ^
7 g+ \* z: \. d/ Nc http://hi.baidu.com/rayh4c/blog/ ... a2045e9822edb9.html' R) O% M V) I& k% M; n8 m1 }
# _# Y& }4 H! {% T! h
通过URL跳转绕过应用程序对引用资源的限制,从而导致安全漏洞% b. Q8 Q9 y/ K" ~/ k- J; ?* |
; V7 k! D+ Z( O! J b8 f7 Zd WooYun: 豆瓣电台认证绕过及csrf防范策略绕过漏洞
7 o- `7 @( D/ i" u& E$ I$ c" G' p S2 a* E) w" N) [" N
借助未验证的URL跳转,可以将应用程序内部敏感的数据传递到不安全的第三方区域
" o7 h: }7 _3 T9 c3 n }6 ] S3 x. H4 T
0x04 修复方案
+ Q, C D3 X, k( T- E" q) m" \! _, p* B6 x% n }
理论上讲,url跳转属于CSRF的一种,我们需要对传入的URL做有效性的认证,保证该URL来自于正确的地方,限制的方式同防止csrf一样可以包括:
0 Q: P# }+ |; F; h
! @7 k1 P' h9 i. Q( _1 @1 referer的限制
4 ?3 @1 p2 H& R3 L( V9 \+ d
: C8 }) |) W _" Y+ Z p) p/ ~如果确定传递URL参数进入的来源,我们可以通过该方式实现安全限制,保证该URL的有效性,避免恶意用户自己生成跳转链接0 R) x3 o8 L' b$ f
5 B$ N* W+ c& q# s& R* c
2 加入有效性验证Token3 j2 C5 g3 X0 L- ~& n6 z
* u; M+ [+ h) _2 z
我们保证所有生成的链接都是来自于我们可信域的,通过在生成的链接里加入用户不可控的Token对生成的链接进行校验,可以避免用户生成自己的恶意链接从而被利用,但是如果功能本身要求比较开放,可能导致有一定的限制。9 v; b5 G+ [$ F, t. }2 A+ v/ k1 v
9 o0 E/ T. M9 F) d5 g |