URL重定向漏洞

未经校验的重定向

未验证的重定向可能发生在 web 应用程序接受不可信输入时,这可能导致 web 应用程序将请求重定向到包含不可信输入的 URL。通过修改不可信的 URL 输入为恶意网站,攻击者可能成功发起网络钓鱼骗局,盗取用户凭据。

由于修改后的链接中的服务器名称看起来和原始网站相同(例如:www.example.com 和 www. eexample.com),网络钓鱼尝试可能看起来更具可信度。

安全的 URL 重定向

当我们想要自动将用户重定向到另一个页面(不需要访客的操作,例如点击超链接)时,可以实现如下代码:

Java Spring Boot

java 复制代码
@GetMapping("/")
public String home() {
    return "redirect:/login";  // 相对路径,域名是默认为当前域名
}

或者指定完整的URL

java 复制代码
@GetMapping("/")
public String home() {
    return "redirect:https://www.example.com/welcome";
}

Python Flask

python 复制代码
@app.route("/check_login")
def check_login():
    return redirect(url_for("login"))

或者指定完整的URL

python 复制代码
@app.route("/check_login")
def check_login():
    return redirect("https://www.google.com")

不安全的 URL 重定向

以下示例展示了不安全的重定向代码。

以下 Java 代码从名为 url 的参数(GET 或 POST)接收 URL 并重定向到该 URL:

java 复制代码
@Controller
public class RedirectController {
    @GetMapping("/redirect")
    public RedirectView redirectToUrl(@RequestParam("url") String url) {
        RedirectView redirectView = new RedirectView();
        redirectView.setUrl(url);
        return redirectView;
    }
}

以下 Python 代码从名为 url 的参数(GET 或 POST)接收 URL 并重定向到该 URL:

python 复制代码
@bp.route("/login", methods=["POST", "GET"])
def login():
    url = request.args.get("url")
    return redirect(url)

上述代码在未进行验证或额外方法控制的情况下容易受到攻击。这种漏洞可被用作网络钓鱼骗局的一部分,将用户重定向到恶意网站。

如果没有进行验证,恶意用户可以创建一个超链接,将用户重定向到未经验证的恶意网站。例如:

http://example.com/login?url=http://malicious.eexample.com

防止未验证的重定向

安全使用重定向可以通过多种方式实现:

  1. 不允许用户输入目标 URL:如果必须使用重定向,确保目标 URL 不是用户输入的。
  2. 验证用户输入:通过创建一个受信任白名单 URL 列表(主机列表或正则表达式)来确保只有白名单中的域名/URL才可以被重定向。关于验证用户输入以确定 URL 是否安全并非简单任务。关于如何实现 URL 验证的详细说明,请参阅:SSRF漏洞
  3. 强制重定向经过确认页面:所有重定向应首先通过一个页面,通知用户他们将离开您的网站,并清晰显示目标,要求用户点击链接以确认。例如:CSDN 的URL重定向会出现如下提示。
相关推荐
Yue1one1 小时前
CSRF 点击劫持
web安全·网络安全
网安_秋刀鱼1 小时前
CSRF防范及绕过
前端·安全·web安全·网络安全·csrf·1024程序员节
小麦黑客笔记3 小时前
2024年最新自学手册 -网络安全(黑客技术)
开发语言·网络·安全·web安全·网络安全
kuber09093 小时前
雷池社区版配置同步试用
网络安全
IT香菜不是菜4 小时前
雷池社区版配置同步试用
网络安全
kkong13175 小时前
当遇到 502 错误(Bad Gateway)怎么办
网络安全
卡宁纳1214 小时前
Linux 重启命令全解析:深入理解与应用指南
网络安全