Java代碼審計(jì)之URL重定向的問題解決
URLRedirect url重定向漏洞也稱url任意跳轉(zhuǎn)漏洞,網(wǎng)站信任了用戶的輸入導(dǎo)致惡意攻擊,url重定向主要用來釣魚,比如url跳轉(zhuǎn)中最常見的跳轉(zhuǎn)在登陸口,支付口,也就是一旦登陸將會(huì)跳轉(zhuǎn)任意自己構(gòu)造的網(wǎng)站,如果設(shè)置成自己的url則會(huì)造成釣魚。
url跳轉(zhuǎn)常見的地方
1. 登陸跳轉(zhuǎn)我認(rèn)為是最常見的跳轉(zhuǎn)類型,認(rèn)證完后會(huì)跳轉(zhuǎn),所以在登陸的時(shí)候建議多觀察url參數(shù)
2. 用戶分享、收藏內(nèi)容過后,會(huì)跳轉(zhuǎn)
3. 跨站點(diǎn)認(rèn)證、授權(quán)后,會(huì)跳轉(zhuǎn)
4. 站內(nèi)點(diǎn)擊其它網(wǎng)址鏈接時(shí),會(huì)跳轉(zhuǎn)
5. 在一些用戶交互頁面也會(huì)出現(xiàn)跳轉(zhuǎn),如請?zhí)顚憣头u價(jià),評價(jià)成功跳轉(zhuǎn)主頁,填寫問卷,等等業(yè)務(wù),注意觀察url。
6. 業(yè)務(wù)完成后跳轉(zhuǎn)這可以歸結(jié)為一類跳轉(zhuǎn),比如修改密碼,修改完成后跳轉(zhuǎn)登陸頁面,綁定銀行卡,綁定成功后返回銀行卡充值等頁面,或者說給定一個(gè)鏈接辦理VIP,但是你需要認(rèn)證身份才能訪問這個(gè)業(yè)務(wù),這個(gè)時(shí)候通常會(huì)給定一個(gè)鏈接,認(rèn)證之后跳轉(zhuǎn)到剛剛要辦理VIP的頁面。
url跳轉(zhuǎn)常用到的參數(shù)
- redirect
- url
- redirectUrl
- callback
- return_url
- toUrl
- ReturnUrl
- fromUrl
- redUrl
- request
- redirect_to
- redirect_url
- jump
- jump_to
- target
- to
- goto
- link
- linkto
- domain
- oauth_callback
核心代碼:
重定向跳轉(zhuǎn)(ViewResolver):
@GetMapping("/redirect") public String redirect(@RequestParam("url") String url) { return "redirect:" + url; }
301跳轉(zhuǎn):
@RequestMapping("/setHeader") @ResponseBody public static void setHeader(HttpServletRequest request, HttpServletResponse response) { String url = request.getParameter("url"); response.setStatus(HttpServletResponse.SC_MOVED_PERMANENTLY); // 301 redirect response.setHeader("Location", url); }
302跳轉(zhuǎn):
@RequestMapping("/sendRedirect") @ResponseBody public static void sendRedirect(HttpServletRequest request, HttpServletResponse response) throws IOException { String url = request.getParameter("url"); response.sendRedirect(url); // 302 redirect }
修復(fù)方式:
轉(zhuǎn)發(fā)(前往),服務(wù)器內(nèi)部的重定向,在Servlet中通過RequestDispatcher轉(zhuǎn)發(fā)給另一個(gè)程序處理請求,請求的數(shù)據(jù)依然在。所以forward相當(dāng)于客戶端向服務(wù)器發(fā)送一次請求,服務(wù)器處理兩次,請求數(shù)據(jù)不會(huì)消失且URL地址只變化一次。
只能內(nèi)部跳轉(zhuǎn)
@RequestMapping("/forward") @ResponseBody public static void forward(HttpServletRequest request, HttpServletResponse response) { String url = request.getParameter("url"); RequestDispatcher rd = request.getRequestDispatcher(url); try { rd.forward(request, response); } catch (Exception e) { e.printStackTrace(); } }
通過checkURL去檢查輸入的參數(shù)
@RequestMapping("/sendRedirect/sec") @ResponseBody public void sendRedirect_seccode(HttpServletRequest request, HttpServletResponse response) throws IOException { String url = request.getParameter("url"); if (SecurityUtil.checkURL(url) == null) { response.setStatus(HttpServletResponse.SC_FORBIDDEN); response.getWriter().write("url forbidden"); return; } response.sendRedirect(url); } }
跟進(jìn)
/** * 同時(shí)支持一級域名和多級域名,相關(guān)配置在resources目錄下url/url_safe_domain.xml文件。 * 優(yōu)先判斷黑名單,如果滿足黑名單return null。 * * @param url the url need to check * @return Safe url returns original url; Illegal url returns null; */ public static String checkURL(String url) { ? if (null == url){ return null; } ? ArrayList<String> safeDomains = WebConfig.getSafeDomains(); ArrayList<String> blockDomains = WebConfig.getBlockDomains(); ? try { String host = gethost(url); ? // 必須http/https if (!isHttp(url)) { return null; } ? // 如果滿足黑名單返回null if (blockDomains.contains(host)){ return null; } for(String blockDomain: blockDomains) { if(host.endsWith("." + blockDomain)) { return null; } } ? // 支持多級域名 if (safeDomains.contains(host)){ return url; } ? // 支持一級域名 for(String safedomain: safeDomains) { if(host.endsWith("." + safedomain)) { return url; } } return null; } catch (NullPointerException e) { logger.error(e.toString()); return null; } }
檢測相關(guān)url是否在自己配置中,若不在則返回NULL
到此這篇關(guān)于Java代碼審計(jì)之URL重定向的問題解決的文章就介紹到這了,更多相關(guān)Java URL重定向內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家!
相關(guān)文章
一文搞懂并學(xué)會(huì)使用SpringBoot的Actuator運(yùn)行狀態(tài)監(jiān)控組件的詳細(xì)教程
這篇文章主要介紹了一文搞懂并學(xué)會(huì)使用SpringBoot的Actuator運(yùn)行狀態(tài)監(jiān)控組件,本文給大家介紹的非常詳細(xì),對大家的學(xué)習(xí)或工作具有一定的參考借鑒價(jià)值,需要的朋友可以參考下2020-09-09一文帶你掌握J(rèn)ava8中Lambda表達(dá)式 函數(shù)式接口及方法構(gòu)造器數(shù)組的引用
Java 8 (又稱為 jdk 1.8) 是 Java 語言開發(fā)的一個(gè)主要版本。 Oracle 公司于 2014 年 3 月 18 日發(fā)布 Java 8 ,它支持函數(shù)式編程,新的 JavaScript 引擎,新的日期 API,新的Stream API 等2021-10-10Spring boot部署發(fā)布到linux的操作方法
這篇文章主要介紹了Spring boot部署發(fā)布到linux的操作方法,非常不錯(cuò),具有參考借鑒價(jià)值,需要的朋友可以參考下2017-05-05MyBatis的collection和association的使用解讀
這篇文章主要介紹了MyBatis的collection和association的使用解讀2023-12-12Java實(shí)現(xiàn)簡易學(xué)生管理系統(tǒng)
這篇文章主要為大家詳細(xì)介紹了Java實(shí)現(xiàn)簡易學(xué)生管理系統(tǒng),文中示例代碼介紹的非常詳細(xì),具有一定的參考價(jià)值,感興趣的小伙伴們可以參考一下2022-07-07Java數(shù)據(jù)結(jié)構(gòu)之鏈表相關(guān)知識總結(jié)
今天給大家?guī)黻P(guān)于Java數(shù)據(jù)結(jié)構(gòu)的相關(guān)知識,文章圍繞Java鏈表展開,文中有非常詳細(xì)的介紹及代碼示例,需要的朋友可以參考下2021-06-06java實(shí)現(xiàn)簡單的客戶信息管理系統(tǒng)
這篇文章主要為大家詳細(xì)介紹了java實(shí)現(xiàn)簡單的客戶信息管理系統(tǒng),文中示例代碼介紹的非常詳細(xì),具有一定的參考價(jià)值,感興趣的小伙伴們可以參考一下2022-06-06Java下3中XML解析 DOM方式、SAX方式和StAX方式
目前我知道的JAVA解析XML的方式有:DOM, SAX, StAX;如果選用這幾種,感覺還是有點(diǎn)麻煩;如果使用:JAXB(Java Architecture for XML Binding),個(gè)人覺得太方便了2013-04-04