猫宁!!!
反射型xss的利用可以给对方发送钓鱼链接,窃取对方cookie,进入对方账户。
利用url重定向漏洞,发送给对方一个钓鱼链接,重定向到一个恶意网页,比如一个假的银行网站,被盗取账号密码,短信验证码等。高级一点,发动水坑攻击,向对方电脑植入恶意程序。部分情况下可以读取服务器文件,协助内网渗透。
url重定向漏洞高发位置:
主要在用户登录认证、内容提交、返回、退出处。
url重定向漏洞发因:
未对url跳转域名做任何过滤;仅针对关键字符串简单判断跳转域名;对域名参数再处理失误;程序语言自有的函数库存在逻辑漏洞;服务器或浏览器对标准url处理存在差异化。
url重定向常用参数名:
redirect/url/jump/target/go/link/redirect_to/redirect_url等
url重定向漏洞防御:
代码采用固定白名单重定向机制,用户没有选择权。
强制校验referer头,验证请求来源。
添加anticsrf的token,针对所有生成的链接进行强制有效校验,用户没有控制权。
url重定向漏洞利用办法:
1-没有任何约束限制
https://www.pjzhang.com/keai.php?go=http://www.muma.com
2-跳转ip地址
ip转化为其它进制或者编码处理,ipv6以后也许也行
https://www.pjzhang.com/keai.php?go=http://110.110.110.110
3-传输协议需要一致或者缺失、替换
https://www.pjzhang.com/keai.php?go=https://www.muma.com
https://www.pjzhang.com/keai.php?go=www.muma.com
https://www.pjzhang.com/keai.php?go=ftp://www.muma.com
4-仅检测当前域名关键词是否在即将跳转的url中
https://www.pjzhang.com/keai.php?go=http://www.pjzhang.com.www.muma.com
https://www.pjzhang.com/keai.php?go=http://www.pjzhang.com/www.muma.com
https://www.pjzhang.com/keai.php?go=http://www.abcpjzhang.com(恶意域名)
5-利用公共白名单中的可信网站进行跳转
例如:百度的缓存链接,就是你从百度搜索点击进入网易科技时,百度会生成一个缓存链接(burpsuite抓包),如果百度是www.pjzhang.com的可信网站,那么就可以利用。缓存链接的有效期不长,也是为了防止这个功能被赌博色情钓鱼站点给利用了。
https://www.pjzhang.com/keai.php?go=https://www.baidu.com/link?url=
qTnL8OXijYcWBCKsYcUPjJNrHGnWz8CLf5TU8ifWwB_
6-网站子域名存在url跳转
主站www的信任度较高,减轻目标怀疑
https://www.pjzhang.com/keai.php?go=http://1234.pjzhang.com/keai.php?go=http://www.muma.com
7-仅校验url即可进行跳转
https://www.pjzhang.com/keai.php?go=http://www.muma.com/keai.php
8-跳转网站进行转码
制作为短地址,url或者base64编码处理
9-设置特殊字符绕过; / \ ? : @ = & . # *等
可以添加更多的斜杠
https://www.pjzhang.com/keai.php?go=/www.muma.com
https://www.pjzhang.com/keai.php?go=///www.muma.com
@可以由其余字符进行替换,也可以是多个字符
https://www.pjzhang.com/keai.php?go=.muma.com
https://www.pjzhang.com/keai.php?go=http://muma.com
特殊字符类(或者被编码过),手工测试会花费大量时间,自动化fuzzing也许效果更显著。
10-ssrf相关漏洞
https://www.pjzhang.com/keai.php?go=http://127.0.0.1/keai.php?url=http://www.muma.com
url重定向漏洞种类繁多,但是很多时候,网站连基本的防御手段都没有采用,根本没有相关意识。防范最常见的漏洞也算增加了恶意攻击者的攻击成本,减少了攻击面。
