您好,登錄后才能下訂單哦!
任意URL跳轉(zhuǎn)漏洞怎樣修復(fù)與JDK中g(shù)etHost()方法之間的坑,很多新手對(duì)此不是很清楚,為了幫助大家解決這個(gè)難題,下面小編將為大家詳細(xì)講解,有這方面需求的人可以來(lái)學(xué)習(xí)下,希望你能有所收獲。
任意URL跳轉(zhuǎn)漏洞
服務(wù)端未對(duì)傳入的跳轉(zhuǎn)url變量進(jìn)行檢查和控制,導(dǎo)致可惡意構(gòu)造任意一個(gè)惡意地址,誘導(dǎo)用戶跳轉(zhuǎn)到惡意網(wǎng)站。由于是從可信的站點(diǎn)跳轉(zhuǎn)出去的,用戶會(huì)比較信任,所以跳轉(zhuǎn)漏洞一般用于釣魚(yú)攻擊,通過(guò)轉(zhuǎn)到惡意網(wǎng)站欺騙用戶輸入用戶名和密碼盜取用戶信息,或欺騙用戶進(jìn)行金錢交易。
修復(fù)該漏洞最有效的方法之一就是校驗(yàn)傳入的跳轉(zhuǎn)url參數(shù)值,判斷是否為預(yù)期域名。在java中可使用下列方法:
String url = request.getParameter("returnUrl"); String host = ""; try { host = new URL(url).getHost(); } catch (MalformedURLException e) { e.printStackTrace(); } if host.endsWith(".bbb.com"){ //跳轉(zhuǎn) }else{ //不跳轉(zhuǎn),報(bào)錯(cuò) }
上述代碼中主要校驗(yàn)了客戶端傳來(lái)的returnUrl參數(shù)值,使用java.net.URL包中的getHost()方法獲取了將要跳轉(zhuǎn)url的host,判斷host是否為目標(biāo)域,上述代碼中限制了必須跳轉(zhuǎn)到xxx.bbb.com的域名,從而排除了跳轉(zhuǎn)到不可信域名的可能。
但是,getHost()方法真的靠譜嗎??
getHost()方法的坑之一
可以被反斜線繞過(guò),即returnUrl=http://www.aaa.com\www.bbb.com會(huì)被代碼認(rèn)為是將要跳轉(zhuǎn)到bbb.com,而實(shí)際在瀏覽器中反斜線被糾正為正斜線,跳轉(zhuǎn)到www.aaa.com/www.bbb.com,最終還是跳到www.aaa.com的服務(wù)器。
使用下列代碼進(jìn)行測(cè)試:
public class Main { public static void main(String[] args) { String url = "https://www.aaa.com\\www.bbb.com?x=123"; String host = ""; try { host = new URL(url).getHost(); } catch (MalformedURLException e) { e.printStackTrace(); } System.out.println("host---"+host); System.out.println("url---"+url); } }
url參數(shù)的域名getHost()之后是www.aaa.com還是www.bbb.com呢?打印結(jié)果如下:
該結(jié)果會(huì)被endsWith(“.bbb.com”)方法判斷為真,從而成功執(zhí)行跳轉(zhuǎn),但實(shí)際在瀏覽器中跳轉(zhuǎn)到了www.aaa.com網(wǎng)站。
getHost()方法的坑之二
getHost()方法的結(jié)果在不同JDK版本中對(duì)井號(hào)#的處理結(jié)果不同,通常井號(hào)被用作頁(yè)面錨點(diǎn),對(duì)于https://www.aaa.com#www.bbb.com?x=123這個(gè)url,較高版本的JDK中,取出結(jié)果為www.aaa.com,低版本中為www.aaa.com#www.bbb.com,從而低版本又可繞過(guò)endsWith(“.bbb.com”)方法,成功跳轉(zhuǎn)。
這里所說(shuō)的高版本指的是java version 1.8.0_181或者java version 1.7.0_161中的181和161,與JDK7還是8無(wú)關(guān)。可能java在某個(gè)時(shí)間集中修復(fù)了JDK6/7/8中的URL庫(kù)。
測(cè)試過(guò)程中發(fā)現(xiàn)1.6.0_45,1.7.0_71,1.8.0_25均可被#繞過(guò),即不同的JDK中低版本均存在問(wèn)題。
通過(guò)對(duì)比rt.jar---java---net--URLStreamHandler.java代碼(低版本為左邊,高版本為右邊)找到問(wèn)題所在如下圖所示,代碼中的start為url中冒號(hào)位置,limit為url中井號(hào)位置:
從代碼中可以發(fā)現(xiàn),低版本中未考慮到一個(gè)完整url中斜線/或者問(wèn)號(hào)?之前會(huì)出現(xiàn)井號(hào)#的情況,如果url中有斜線/或者問(wèn)號(hào)?,取host就以斜線或者問(wèn)號(hào)為終止,即使中間包含井號(hào)也不處理;而高版本中進(jìn)行了井號(hào)位置的判斷,排除了使用井號(hào)繞過(guò)的可能。但是線上生成環(huán)境的JDK版本又不是敢隨便亂升級(jí)的,只能從代碼里提前預(yù)防。
下圖為使用不同版本JDK測(cè)試的結(jié)果:
同一段代碼在不同JDK版本中打印出的host值不同,在低版本中包含了井號(hào)及其后邊的部分。
綜合上述兩個(gè)坑,若想使用getHost()來(lái)修復(fù)任意URL跳轉(zhuǎn)漏洞,需要考慮到反斜線和井號(hào)繞過(guò),可使用如下代碼:
String url = request.getParameter("returnUrl"); String host = ""; try { urlurl = url.replaceAll("[\\\\#],"/"); //替換掉反斜線和井號(hào) host = new URL(url).getHost(); } catch (MalformedURLException e) { e.printStackTrace(); } if host.endsWith(".bbb.com"){ //跳轉(zhuǎn) }else{ //不跳轉(zhuǎn),報(bào)錯(cuò) }
附送一個(gè)真實(shí)例子
該站可使用井號(hào)配合斜線或者問(wèn)號(hào)來(lái)繞過(guò)域名檢測(cè),即將target設(shè)置為URL編碼后的https://www.baidu.com#www.bbb.com?x=123,該站即可302跳轉(zhuǎn)到百度。
看完上述內(nèi)容是否對(duì)您有幫助呢?如果還想對(duì)相關(guān)知識(shí)有進(jìn)一步的了解或閱讀更多相關(guān)文章,請(qǐng)關(guān)注億速云行業(yè)資訊頻道,感謝您對(duì)億速云的支持。
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。