漏洞挖掘365天挑战——Day057:漏洞挖掘实践之开放式重定向

已经分析的漏洞:

URL跳转的常见参数:

redirect
url
redirectUrl
callback
return_url
toUrl
ReturnUrl
fromUrl
redUrl
request
redirect_to
redirect_url
jump
jump_to
target
to
goto
goTo
link
linkto
domain
oauth_callback
redirect
redirect_to
redirect_url
redirectUrl
callback
toUrl
fromUrl
request
service
returnUrl
domain
return
locationUrl
r_url


https://github.com/cujanovic/Open-Redirect-Payloads


URL跳转bypass

1.最常用的@绕过
url=http://www.aaaa.com@www.xxx.com(要跳转的页面)他有的可能验证只要存在aaaa.com就允许访问,做个@解析,实际上我们是跳转到xxx.com的
2.?号绕过
url=http://www.aaaa.com?www.xxx.com
3.#绕过
url=http://www.aaaa.com#www.xxx.com
4.斜杠/绕过
url=http://www.aaaa.com/www.xxx.com
5.利用白名单缺陷绕过
白名单的限制往往是不全面的。
例如该网站想跳转到自己的内部页面,而只检查跳转url中有没有白名单的内容。那么:http://www.aaa.com/bbb?url=http://cccaaa.com
购买cccaaa.com的域名,这样也是可以绕过的。
6.重验证&跳转绕过
现在很多网站都有多重验证,比如你登陆账户后会出现另一个验证页面,输入手机验证码进行验证,此时这上面的URL很可能存在任意跳转的问题。
比如http://www.aaa.com/acb?Url=http: … ttp://login.aaa.com
当然,还有多重的,结构的多重跳转你修改最后面的URL就可以达到任意URL跳转,中间的URL就没必要动了。
7.点击触发实现绕过
很多登陆页面的地方,其URL是一个跳转的URL
如某一个登录页面,修改url:http://www.aaa.com/bbb?url=http://ccc.com
登录用户,有可能触发。
8.利用xip.io绕过
格式:http://www.aaa.com/bbb?url=http://www.aaa.com.ccc.com.xip.io
9.利用超链接绕过可信站点限制
比如一个URL,它是可以直接跳转的,但是一般测试跳转时大家习惯用www.baidu.com或qq.com这样的可信站点进行测试,但是有些网站是可以跳转这些网站的。
只要是可信站点且常用,基本都可以跳转,那么这就属于正常的业务逻辑了,难度就这样错失一个URL跳转漏洞了?
其实不然,只要你的URL被百度收录过,那么直接搜索你的域名,site:xxx.xxx
因为你在百度里点击你的域名,它会先是一个302跳转,而这个302跳转就是百度下的302跳转,那么这样就可以绕过可信站点的限制,从而达到跳转到指定URL。
当然,百度这个302有点长,你给它进行加密就行。
利用百度缓存链接,在其上再进行跳转
10。POST参数中的URL跳转
常见于上传图片、头像处。如果过滤不严,将会把图片的完整地址包含在POST参数里,这里我们修改其地址为ccc.com。
由于修改了地址,图片就会显示不出来,右键查看图片,就会触发URL跳转(可以配合其他绕过方式)
如果POST参数里就只是URL跳转参数,那么你可以给它转成GET方式,然后进行跳转就可以了,只要网站支持这样的GET方式就行。在Burp Suite里可以一键转换提交方式,右键选择Change request method就可以!
11.其他绕过方式
跳转到IP地址,而不是域名; 
跳转到IPV6地址,而不是IPv4地址; 
将要跳转到的IP地址用10进制、8进制、16进制形式表示; 
更换协议,使用ftp、gopher协议等; 
借鉴SSRF漏洞绕过的tricks; 
CRLF注入不能xss时,转向利用任意URL跳转漏洞;


https://landgrey.me/static/upload/2019-09-15/mofwvdcx.pdf

开源项目

参考资源

  1. https://cloud.tencent.com/developer/article/1728654
  2. https://portswigger.net/kb/issues/00500100_open-redirection-reflected

漏洞挖掘365天挑战——Day057:漏洞挖掘实践之开放式重定向”的一个响应

漏洞挖掘365天挑战 – Pxiaoer's Blog进行回复 取消回复

Fill in your details below or click an icon to log in:

WordPress.com 徽标

您正在使用您的 WordPress.com 账号评论。 注销 /  更改 )

Twitter picture

您正在使用您的 Twitter 账号评论。 注销 /  更改 )

Facebook photo

您正在使用您的 Facebook 账号评论。 注销 /  更改 )

Connecting to %s