加入收藏 | 设为首页 | 会员中心 | 我要投稿 宜春站长网 (https://www.0795zz.com/)- 科技、建站、经验、云计算、5G、大数据,站长网!
当前位置: 首页 > 运营中心 > 建站资源 > 策划 > 正文

任意URL跳转漏洞修复与JDK中getHost()方法之间的坑

发布时间:2019-03-19 03:12:26 所属栏目:策划 来源:ChangeS
导读:任意URL跳转漏洞 服务端未对传入的跳转url变量进行检查和控制,导致可恶意构造任意一个恶意地址,诱导用户跳转到恶意网站。由于是从可信的站点跳转出去的,用户会比较信任,所以跳转漏洞一般用于钓鱼攻击,通过转到恶意网站欺骗用户输入用户名和密码盗取用
副标题[/!--empirenews.page--]

任意URL跳转漏洞

服务端未对传入的跳转url变量进行检查和控制,导致可恶意构造任意一个恶意地址,诱导用户跳转到恶意网站。由于是从可信的站点跳转出去的,用户会比较信任,所以跳转漏洞一般用于钓鱼攻击,通过转到恶意网站欺骗用户输入用户名和密码盗取用户信息,或欺骗用户进行金钱交易。

修复该漏洞最有效的方法之一就是校验传入的跳转url参数值,判断是否为预期域名。在java中可使用下列方法:

  1. String url = request.getParameter("returnUrl"); 
  2. String host = ""; 
  3. try { 
  4.     host = new URL(url).getHost(); 
  5. } catch (MalformedURLException e) { 
  6.     e.printStackTrace(); 
  8. if host.endsWith(".bbb.com"){ 
  9.     //跳转 
  10. }else{ 
  11.     //不跳转,报错 

上述代码中主要校验了客户端传来的returnUrl参数值,使用java.net.URL包中的getHost()方法获取了将要跳转url的host,判断host是否为目标域,上述代码中限制了必须跳转到xxx.bbb.com的域名,从而排除了跳转到不可信域名的可能。

但是,getHost()方法真的靠谱吗??

getHost()方法的坑之一

可以被反斜线绕过,即returnUrl=http://www.aaa.comwww.bbb.com会被代码认为是将要跳转到bbb.com,而实际在浏览器中反斜线被纠正为正斜线,跳转到www.aaa.com/www.bbb.com,最终还是跳到www.aaa.com的服务器。

使用下列代码进行测试:

  1. public class Main { 
  2.  
  3.     public static void main(String[] args) { 
  4.         String url = "https://www.aaa.comwww.bbb.com?x=123"; 
  5.         String host = ""; 
  6.         try { 
  7.             host = new URL(url).getHost(); 
  8.         } catch (MalformedURLException e) { 
  9.             e.printStackTrace(); 
  10.         } 
  11.         System.out.println("host---"+host); 
  12.         System.out.println("url---"+url); 
  13.     } 

url参数的域名getHost()之后是www.aaa.com还是www.bbb.com呢?打印结果如下:

任意URL跳转漏洞修复与JDK中getHost()方法之间的坑

该结果会被endsWith(“.bbb.com”)方法判断为真,从而成功执行跳转,但实际在浏览器中跳转到了www.aaa.com网站。

getHost()方法的坑之二

getHost()方法的结果在不同JDK版本中对井号#的处理结果不同,通常井号被用作页面锚点,对于https://www.aaa.com#www.bbb.com?x=123这个url,较高版本的JDK中,取出结果为www.aaa.com,低版本中为www.aaa.com#www.bbb.com,从而低版本又可绕过endsWith(“.bbb.com”)方法,成功跳转。

这里所说的高版本指的是java version 1.8.0_181或者java version 1.7.0_161中的181和161,与JDK7还是8无关。可能java在某个时间集中修复了JDK6/7/8中的URL库。

测试过程中发现1.6.0_45,1.7.0_71,1.8.0_25均可被#绕过,即不同的JDK中低版本均存在问题。

通过对比rt.jar---java---net--URLStreamHandler.java代码(低版本为左边,高版本为右边)找到问题所在如下图所示,代码中的start为url中冒号位置,limit为url中井号位置:

从代码中可以发现,低版本中未考虑到一个完整url中斜线/或者问号?之前会出现井号#的情况,如果url中有斜线/或者问号?,取host就以斜线或者问号为终止,即使中间包含井号也不处理;而高版本中进行了井号位置的判断,排除了使用井号绕过的可能。但是线上生成环境的JDK版本又不是敢随便乱升级的,只能从代码里提前预防。

下图为使用不同版本JDK测试的结果:

同一段代码在不同JDK版本中打印出的host值不同,在低版本中包含了井号及其后边的部分。

综合上述两个坑,若想使用getHost()来修复任意URL跳转漏洞,需要考虑到反斜线和井号绕过,,可使用如下代码:

  1. String url = request.getParameter("returnUrl"); 
  2. String host = ""; 
  3. try { 
  4.     urlurl = url.replaceAll("[\#],"/"); //替换掉反斜线和井号 
  5.     host = new URL(url).getHost();   
  6. } catch (MalformedURLException e) { 
  7.     e.printStackTrace(); 
  9. if host.endsWith(".bbb.com"){ 
  10.     //跳转 
  11. }else{ 
  12.     //不跳转,报错 

附送一个真实例子

(编辑:宜春站长网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
相关内容
    推荐文章
    站长推荐
    热点阅读

      【免责声明】本站内容转载自互联网,其发布内容言论不代表本站观点,如果其链接、内容的侵犯您的权益,烦请提交相关链接至邮箱bqsm@foxmail.com我们将及时予以处理。

      建议您使用1920×1080分辨率、谷歌浏览器Google Chrome、Microsoft Edge以获得本站的最佳浏览效果

      Copygight © 2008-2022 https://www.0795zz.com/ All Rights Reserved. 宜春站长网