未经校验的重定向
未验证的重定向可能发生在 web 应用程序接受不可信输入时,这可能导致 web 应用程序将请求重定向到包含不可信输入的 URL。通过修改不可信的 URL 输入为恶意网站,攻击者可能成功发起网络钓鱼骗局,盗取用户凭据。
由于修改后的链接中的服务器名称看起来和原始网站相同(例如:www.example.com 和 www. eexample.com),网络钓鱼尝试可能看起来更具可信度。
安全的 URL 重定向
当我们想要自动将用户重定向到另一个页面(不需要访客的操作,例如点击超链接)时,可以实现如下代码:
Java Spring Boot
java
@GetMapping("/")
public String home() {
return "redirect:/login"; // 相对路径,域名是默认为当前域名
}或者指定完整的URL
java
@GetMapping("/")
public String home() {
return "redirect:https://www.example.com/welcome";
}Python Flask
python
@app.route("/check_login")
def check_login():
return redirect(url_for("login"))或者指定完整的URL
python
@app.route("/check_login")
def check_login():
return redirect("https://www.google.com")不安全的 URL 重定向
以下示例展示了不安全的重定向代码。
以下 Java 代码从名为 url 的参数(GET 或 POST)接收 URL 并重定向到该 URL:
java
@Controller
public class RedirectController {
@GetMapping("/redirect")
public RedirectView redirectToUrl(@RequestParam("url") String url) {
RedirectView redirectView = new RedirectView();
redirectView.setUrl(url);
return redirectView;
}
}以下 Python 代码从名为 url 的参数(GET 或 POST)接收 URL 并重定向到该 URL:
python
@bp.route("/login", methods=["POST", "GET"])
def login():
url = request.args.get("url")
return redirect(url)上述代码在未进行验证或额外方法控制的情况下容易受到攻击。这种漏洞可被用作网络钓鱼骗局的一部分,将用户重定向到恶意网站。
如果没有进行验证,恶意用户可以创建一个超链接,将用户重定向到未经验证的恶意网站。例如:
http://example.com/login?url=http://malicious.eexample.com
防止未验证的重定向
安全使用重定向可以通过多种方式实现:
- 不允许用户输入目标 URL:如果必须使用重定向,确保目标 URL 不是用户输入的。
- 验证用户输入:通过创建一个受信任白名单 URL 列表(主机列表或正则表达式)来确保只有白名单中的域名/URL才可以被重定向。关于验证用户输入以确定 URL 是否安全并非简单任务。关于如何实现 URL 验证的详细说明,请参阅:SSRF漏洞
- 强制重定向经过确认页面:所有重定向应首先通过一个页面,通知用户他们将离开您的网站,并清晰显示目标,要求用户点击链接以确认。例如:CSDN 的URL重定向会出现如下提示。
