快捷導(dǎo)航

Java代碼審計(jì)之URL重定向的問題解決

更新時(shí)間：2024年06月23日 09:30:45 作者：吉祥同學(xué)學(xué)安全

URLRedirect url重定向漏洞也稱url任意跳轉(zhuǎn)漏洞,網(wǎng)站信任了用戶的輸入導(dǎo)致惡意攻擊,本文主要介紹了Java代碼審計(jì)之URL重定向的問題解決,具有一定的參考價(jià)值,感興趣的可以了解一下

URLRedirect url重定向漏洞也稱url任意跳轉(zhuǎn)漏洞，網(wǎng)站信任了用戶的輸入導(dǎo)致惡意攻擊，url重定向主要用來釣魚，比如url跳轉(zhuǎn)中最常見的跳轉(zhuǎn)在登陸口，支付口，也就是一旦登陸將會(huì)跳轉(zhuǎn)任意自己構(gòu)造的網(wǎng)站，如果設(shè)置成自己的url則會(huì)造成釣魚。

url跳轉(zhuǎn)常見的地方

1. 登陸跳轉(zhuǎn)我認(rèn)為是最常見的跳轉(zhuǎn)類型，認(rèn)證完后會(huì)跳轉(zhuǎn)，所以在登陸的時(shí)候建議多觀察url參數(shù)
2. 用戶分享、收藏內(nèi)容過后，會(huì)跳轉(zhuǎn)
3. 跨站點(diǎn)認(rèn)證、授權(quán)后，會(huì)跳轉(zhuǎn)
4. 站內(nèi)點(diǎn)擊其它網(wǎng)址鏈接時(shí)，會(huì)跳轉(zhuǎn)
5. 在一些用戶交互頁面也會(huì)出現(xiàn)跳轉(zhuǎn)，如請?zhí)顚憣头u價(jià)，評價(jià)成功跳轉(zhuǎn)主頁，填寫問卷，等等業(yè)務(wù)，注意觀察url。
6. 業(yè)務(wù)完成后跳轉(zhuǎn)這可以歸結(jié)為一類跳轉(zhuǎn)，比如修改密碼，修改完成后跳轉(zhuǎn)登陸頁面，綁定銀行卡，綁定成功后返回銀行卡充值等頁面，或者說給定一個(gè)鏈接辦理VIP，但是你需要認(rèn)證身份才能訪問這個(gè)業(yè)務(wù)，這個(gè)時(shí)候通常會(huì)給定一個(gè)鏈接，認(rèn)證之后跳轉(zhuǎn)到剛剛要辦理VIP的頁面。

url跳轉(zhuǎn)常用到的參數(shù)

redirect
url
redirectUrl
callback
return_url
toUrl
ReturnUrl
fromUrl
redUrl
request
redirect_to
redirect_url
jump
jump_to
target
to
goto
link
linkto
domain
oauth_callback

核心代碼：

重定向跳轉(zhuǎn)（ViewResolver）：

@GetMapping("/redirect")
public String redirect(@RequestParam("url") String url) {
    return "redirect:" + url;
}

301跳轉(zhuǎn)：

@RequestMapping("/setHeader")
@ResponseBody
public static void setHeader(HttpServletRequest request, HttpServletResponse response) {
    String url = request.getParameter("url");
    response.setStatus(HttpServletResponse.SC_MOVED_PERMANENTLY); // 301 redirect
    response.setHeader("Location", url);
}

302跳轉(zhuǎn)：

@RequestMapping("/sendRedirect")
@ResponseBody
public static void sendRedirect(HttpServletRequest request, HttpServletResponse response) throws IOException {
    String url = request.getParameter("url");
    response.sendRedirect(url); // 302 redirect
}

修復(fù)方式：

轉(zhuǎn)發(fā)(前往)，服務(wù)器內(nèi)部的重定向，在Servlet中通過RequestDispatcher轉(zhuǎn)發(fā)給另一個(gè)程序處理請求，請求的數(shù)據(jù)依然在。所以forward相當(dāng)于客戶端向服務(wù)器發(fā)送一次請求，服務(wù)器處理兩次，請求數(shù)據(jù)不會(huì)消失且URL地址只變化一次。
只能內(nèi)部跳轉(zhuǎn)

@RequestMapping("/forward")
@ResponseBody
public static void forward(HttpServletRequest request, HttpServletResponse response) {
    String url = request.getParameter("url");
    RequestDispatcher rd = request.getRequestDispatcher(url);
    try {
        rd.forward(request, response);
    } catch (Exception e) {
        e.printStackTrace();
    }
}

通過checkURL去檢查輸入的參數(shù)

@RequestMapping("/sendRedirect/sec")
    @ResponseBody
    public void sendRedirect_seccode(HttpServletRequest request, HttpServletResponse response)
            throws IOException {
        String url = request.getParameter("url");
        if (SecurityUtil.checkURL(url) == null) {
            response.setStatus(HttpServletResponse.SC_FORBIDDEN);
            response.getWriter().write("url forbidden");
            return;
        }
        response.sendRedirect(url);
    }
}

跟進(jìn)

/**
 * 同時(shí)支持一級域名和多級域名，相關(guān)配置在resources目錄下url/url_safe_domain.xml文件。
 * 優(yōu)先判斷黑名單，如果滿足黑名單return null。
 *
 * @param url the url need to check
 * @return Safe url returns original url; Illegal url returns null;
 */
public static String checkURL(String url) {
?
    if (null == url){
        return null;
    }
?
    ArrayList<String> safeDomains = WebConfig.getSafeDomains();
    ArrayList<String> blockDomains = WebConfig.getBlockDomains();
?
    try {
        String host = gethost(url);
?
        // 必須http/https
        if (!isHttp(url)) {
            return null;
        }
?
        // 如果滿足黑名單返回null
        if (blockDomains.contains(host)){
            return null;
        }
        for(String blockDomain: blockDomains) {
            if(host.endsWith("." + blockDomain)) {
                return null;
            }
        }
?
        // 支持多級域名
        if (safeDomains.contains(host)){
            return url;
        }
?
        // 支持一級域名
        for(String safedomain: safeDomains) {
            if(host.endsWith("." + safedomain)) {
                return url;
            }
        }
        return null;
    } catch (NullPointerException e) {
        logger.error(e.toString());
        return null;
    }
}

檢測相關(guān)url是否在自己配置中，若不在則返回NULL

到此這篇關(guān)于Java代碼審計(jì)之URL重定向的問題解決的文章就介紹到這了,更多相關(guān)Java URL重定向內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: