0x00 抛砖引玉
当你看到一个参数的值是url的时候你会想到什么?
结合wooyun里的案例看,可能产生的危害分为三方面:
1、url重定向跳转漏洞
2、底层操作类库支持其他协议导致读取本地或探测网络信息
3、不支持其他协议但是没有设置网络边界
0x01 详细介绍
URL重定向跳转
url跳转漏洞的科普之前已经发过http://drops.wooyun.org/papers/58。
url跳转可能集中过滤不严格的情况:
一是白名单同域下可能有其他的302跳转漏洞结合绕过。
二是单纯判断字符串中是否包含白名单域名,可用http://www.attack.com/test.com/index.php或http://www.test.com.attack.com/index.php绕过。
三是后端取host的时候跟浏览器识别的差异导致http://www.attack.com\test.com/index.php(测试除了gecko内核,其他浏览器都把attack.com当做host)可绕过。
后端如果仅仅是依靠获取/来结束的话,就会产生差异,包括php中的parse_url函数获取host的结果也是www.attack.com\test.com
底层操作类库支持其他协议导致读取本地或探测网络信息
wooyun中案例:
获取地址的内容输出出来,后端采用curl库,支持其他的协议,如果没有做任何过滤防范措施,可使用file协议时便可读取本地的文件,telnet探测端口信息等。
http://share.renren.com/parse_share.do?link=file:///etc/passwd
http://share.renren.com/parse_share.do?link=file:///etc/sysconfig/
http://mark.appsina.com/read.php?sid=2247&type=0&url=telnet://221.179.193.1&pos=1&from=0&gsid=3_5bc7d139d8527229d2df38b6765c6b91b8428eda66bd8c1e61b5df&vt=2
不支持其他协议但是没有设置网络边界
wooyun中案例:
这两个漏洞已经对核心白帽子公开,并且厂商已经修复,就拿来做例子了。
当已经针对url做了协议控制只允许http访问时还能做什么呢?
尝试下访问内网吧
http://wap.sogou.com/tc?url=http%3A%2F%2Fno.sohu.com%2F
可以用暴力破解二级域名的工具找内网的域名跑一下试试,然后尝试访问看看是否成功~!
0x02 修复方案
加入有效性验证Token
我们保证所有生成的链接都是来自于我们可信域的,通过在生成的链接里加入用户不可控的Token对生成的链接进行校验,可以避免用户生成自己的恶意链接从而被利用,但是如果功能本身要求比较开放,可能导致有一定的限制。
设置严格白名单及网络边界
功能要求比较开放的情况下,需要严格限定协议以及可访问的网络。