url任意跳转漏洞

url任意跳转漏洞

服务端未对传入的跳转url 变量进行检查和控制，可能导致构造任意一个恶意地址，诱导用户跳转到恶意网站。由于是从可信的站点跳转出去的，用户会比较信任，所以跳转漏洞一般用于钓鱼攻击，通过转到恶意网站欺骗用户输入用户名和密码盗取用户信息，或欺骗用户进行金钱交易；还可以造成xss 漏洞。

攻击方式及危害

url跳转中最常见的跳转在登陆口，支付口，也有跳转目录的同样可以跳转URL。借助URL 跳转，也可以突破常见的基于“白名单方式”的一些安全限制，如传统IM 里对于URL 的传播会进行安全校验，但是对于大公司的域名或URL 将直接允许通过并且显示会可信的URL，而一旦该URL 里包含一些跳转漏洞将可能导致安全限制被绕过。如果引用一些资源的限制是依赖于“白名单方式”，同样可能被绕过导致安全风险，如，常见的一些应用允许引入可信站点，如baidu.com 的视频，限制方式往往是检查URL 是否是baidu.com 来实现，如果baidu.com 内含一个url 跳转漏洞，将导致最终引入的资源属于不可信的第三方资源或者恶意站点，最终导致安全问题。

漏洞检测

修改参数中的合法URL 为非法URL，然后查看是否能正常跳转或者响应包是否包含了任意的构造URL

• 常见参数：
  redirect
  url
  redirectUrl
  callback
  return_url
  toUrl
  ReturnUrl
  fromUrl
  redUrl
  request
  redirect_to
  redirect_url
  jump
  jump_to
  target
  to
  goto
  link
  linkto
  domain
  oauth_callback

bypass（绕过）

例子：
存在URL重定向漏洞的网站http://www.aaa.com/acb
login.aaa.com是一个子域名
http://test.com是重定向的目标网站

• @绕过
  用这方法在火狐里进行跳转，会有弹窗提示，在其它游览器则没有
  http://www.aaa.com/acb?Url=http://login.aaa.com@test.com//ssrf也可用
  后面的test.com 就是要跳转到的域名，前面的域名都是用来辅助以绕过限制的

• ?绕过
  http://www.aaa.com/acb?Url=http://test.com?login.aaa.com
?放到你添加的想要跳转的域名的后面，

• #绕过
  http://www.aaa.com/acb?Url=http://test.com#login.aaa.com

• /绕过
  http://www.aaa.com/acb?Url=http://test.com/login.aaa.com
  正斜杠前面跟上你想跳转的域名地址

• 绕过

  • 两个反斜杠绕过方法
    http://www.aaa.com/acb?Url=http://test.com\login.aaa.com
    两个反斜杠前面跟上你想跳转的域名地址
  • 一个反斜杠绕过方法
    http://www.aaa.com/acb?Url=http://test.comlogin.aaa.com
  • 一个反斜杠一个点
    http://www.aaa.com/acb?Url=http://test.com.login.aaa.com

• 利用白名单缺陷绕过限制
  有的域名白名单限制是不全的，比如如果想利用一个跳转，而这个跳转是通用，在这个公司网站很多子域名等都可以跳转，那么你买个域名也不算贵对吧，为什么这么说呢，这个问题就是白名单限制不当，比如，当跳转的域名包含这个网站下的所有域名，
  比如：http://www.aaa.com/acb?Url=http://login.aaa.com
  这个login.aaa.com 也可以改成aaa.com 同样可以跳转对吧，因为白名单里只要有包含这个域名就直接成功跳转。那么当我在这个域名前面加上如testaaa.com，白名单里会检查是否包含aaa.com 这个域名，包含，然后直接跳转，而并没有检查这个域名的整个信息，然后可以利用这个问题，直接注册一个testaaa.com 这个域名就可以利用这个跳转。

• 多重验证&跳转绕过限制
  比如你登陆账户后会出现另一个验证页面，输入手机验证码进行验证，此时这上面的URL 很可能存在任意跳转的问题。多重跳转的问题导致可绕过URL 限制
  如http://www.aaa.com/acb?Url=http://login.aaa.com/acb?url=http://login.aaa.com
  这个结构的多重跳转你修改最后面的URL 就可以达到任意URL 跳转，中间的URL 就没必要动了。

• 点击触发达到绕过URL 跳转限制
  比如很多登陆页面的地方，其URL 是一个跳转的URL，
  如：http://www.aaa.com/acb?Url=http://test.com
  你直接修改了后面为任意URL，但是还是停留在原地，似乎没什么问题，但是，当你输入账号和密码后点击登陆按钮后，就会触发跳转，当然，这个账户和密码不一定要对的，随便都可以，但得视系统而定吧。

• xip.io绕过
  http://127.0.0.1/url.php?username=1&password=1&redict=http://www.xiaozhupeiqi.com.220.181.57.217.xip.io会跳转到百度

• 白名单网站可信
  如果url跳转点信任百度url，google url或者其他，则可以多次跳转达到自己的恶意界面。

• 协议绕过
  http与https协议转换尝试，或者省略
  http://127.0.0.1/url.php?username=1&password=1&redict=//www.xiaozhupeiqi.com@www.baidu.com
http://127.0.0.1/url.php?username=1&password=1&redict=////www.xiaozhupeiqi.com@www.baidu.com//多斜线

• xss跳转

<meta  content="1;url=http://www.baidu.com" http-equiv="refresh">