跳到主要内容

漏洞分析:URL 重定向漏洞检测插件

· 阅读需 4 分钟
Yak ProjectYak Project

URL重定向漏洞

漏洞信息

URL重定向漏洞是由于目标网站未对程序跳转的URL地址及参数做合法性判断,导致应用程序直接跳转到参数中指定的的URL地址。

攻击者可通过将跳转地址修改为指向恶意站点。

比较容易出现的地方是登录、注册、访问订单信息、以及一些需要回到上个页面的地方。

此漏洞通常用于发起网络钓鱼、诈骗甚至窃取用户凭证等。

下面是一个比较典型的场景

漏洞本身是无法直接危害系统和用户安全的,按照通用漏洞定级标准属于低危,但该漏洞可被利用于钓鱼,在工信部远程检测工作中,该漏洞定义为高危。

漏洞检测

url重定向漏洞的检测初看会很像SSRF漏洞的检测:

但是仔细思考一下会发现这样并不合理,因为url重定向漏洞的跳转是针对客户端的,而客户端的跳转并不只有302一种方式,还是一些方式是使用其他浏览器前端的方式来完成跳转。

跳转方式

常见的跳转方式一共有三类(本质上是两类:一种http头,一种JS操作)

  • HTTP 响应头:
  • meta 标签:meta标签实现跳转的本质就是为添加一个指定的头,这个标签可以可以添加Refresh头,类似<meta http-equiv="refresh" content="5;URL=https://yaklang.com/">
  • JS(location)JS操作页面主要是操作 window.location对象,比如 window.location.href ="https://yaklang.com/"

上述的检测方式只能检测到HTTP响应头直接跳转的情况,如果跳转是通过前端来完成,缺少浏览器渲染解析的扫描插件就无法检测出来。

自动检测插件

整体流程

针对插件检测漏洞来说,就需要通过分析请求响应包来确定漏洞是否存在。

检测参数与确认输出位置

url重定向漏洞的出现位置一般来说场景相对复杂,参数量不会太少,直接无脑对所有参数进行测试是不太合适的,应该筛选部分可疑的参数进行测试,期望的效果会更好。

参数检测只有两个标准,一个是参数名是否敏感,一个是参数值是否为url或者path。

在Yaklang里有着完善的测试基础设施,re库下的函数可以很简单的检测出第二标准

len(re.ExtractURL(value) > 0 ||  len(re.ExtractPath(value))

获取到需要检测的参数,首先需要去定位参数输出的位置,可以使用原值拼接随机字符串的方式来构造特征字符串,这样产生的字符串大概率合法。

检查漏洞

获取到拥有输出信息位置后的可疑参数后,开始对每一个参数进行测试。不同的位置采用不同的测试手法,但是本质上就是两个阶段:

  • 找到可能会被用于跳转的 输出值
  • 解析输出值(url)的host是否是预期的

这里着重介绍一下JS的部分

JS解析

Yaklang依靠了成熟的轻量级在 Go 语言中嵌入 JavaScript 解释器的库——"otto",对其封装后Yaklang可以解析一段JS代码成为AST。

本插件对JS的解析就是通过AST遍历,找到会自动执行的location重定向语句。

下面是对Expression节点解析的代码

expressionCheck = func(stat,payload){    node = stat    inerType = js.GetSTType(stat)    if inerType == "ExpressionStatement"{        inerType = js.GetSTType(stat.Expression)        node = stat.Expression    }    switch inerType {        case "CallExpression":            if js.GetSTType(node.Callee) == "DotExpression"{                if DotExprCheck(node,payload){                    return true                }            }else if js.GetSTType(node.Callee) == "Identifier"{                if node.Callee.Name == "setTimeout"{                    if js.GetSTType(node.ArgumentList[0]) == "FunctionLiteral"{                        if jsAstCheck(node.ArgumentList[0].Body.List,payload){                            return true                        }                    }                    if expressionCheck(node.ArgumentList[0],payload){                        return true                    }                }                            }        case "AssignExpression":            if js.GetSTType(node.Left) == "DotExpression"{                if AssignExprCheck(node,payload){                    return true                }            }    }}

测试

针对Vulinbox中几个漏洞检测

靶场预期检测结果
header location重定向有漏洞有漏洞
meta 重定向-无等待有漏洞有漏洞
meta 重定向-等待5s有漏洞有漏洞
window.location.replace有漏洞有漏洞
window.location.hr有漏洞有漏洞
window.location.assign有漏洞有漏洞

更新日志

Yakit v1.2.3-sp4

Yaklang 1.2.4-sp1/sp2

More

本文首发于 Yak Project 公众号,阅读原文