日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
任意URL跳轉(zhuǎn)漏洞修復(fù)與JDK中g(shù)etHost()方法之間的坑

任意URL跳轉(zhuǎn)漏洞

創(chuàng)新互聯(lián)建站成立以來不斷整合自身及行業(yè)資源、不斷突破觀念以使企業(yè)策略得到完善和成熟,建立了一套“以技術(shù)為基點(diǎn),以客戶需求中心、市場(chǎng)為導(dǎo)向”的快速反應(yīng)體系。對(duì)公司的主營(yíng)項(xiàng)目,如中高端企業(yè)網(wǎng)站企劃 / 設(shè)計(jì)、行業(yè) / 企業(yè)門戶設(shè)計(jì)推廣、行業(yè)門戶平臺(tái)運(yùn)營(yíng)、成都app軟件開發(fā)公司、移動(dòng)網(wǎng)站建設(shè)、微信網(wǎng)站制作、軟件開發(fā)、溫江服務(wù)器租用等實(shí)行標(biāo)準(zhǔn)化操作,讓客戶可以直觀的預(yù)知到從創(chuàng)新互聯(lián)建站可以獲得的服務(wù)效果。

服務(wù)端未對(duì)傳入的跳轉(zhuǎn)url變量進(jìn)行檢查和控制,導(dǎo)致可惡意構(gòu)造任意一個(gè)惡意地址,誘導(dǎo)用戶跳轉(zhuǎn)到惡意網(wǎng)站。由于是從可信的站點(diǎn)跳轉(zhuǎn)出去的,用戶會(huì)比較信任,所以跳轉(zhuǎn)漏洞一般用于釣魚攻擊,通過轉(zhuǎn)到惡意網(wǎng)站欺騙用戶輸入用戶名和密碼盜取用戶信息,或欺騙用戶進(jìn)行金錢交易。

修復(fù)該漏洞最有效的方法之一就是校驗(yàn)傳入的跳轉(zhuǎn)url參數(shù)值,判斷是否為預(yù)期域名。在java中可使用下列方法:

 
 
 
 
    
  
  
  
  
  1. String url = request.getParameter("returnUrl"); 
    2. 
  
  
  
  
  2. String host = ""; 
    3. 
  
  
  
  
  3. try { 
    4. 
  
  
  
  
  4.     host = new URL(url).getHost(); 
    5. 
  
  
  
  
  5. } catch (MalformedURLException e) { 
    6. 
  
  
  
  
  6.     e.printStackTrace(); 
    7. 
  
  
  
  
    8. 
  
  
  
  
  8. if host.endsWith(".bbb.com"){ 
    9. 
  
  
  
  
  9.     //跳轉(zhuǎn) 
    10. 
  
  
  
  
  10. }else{ 
    11. 
  
  
  
  
  11.     //不跳轉(zhuǎn),報(bào)錯(cuò) 
    12. 
  
  
  
  
    13.

上述代碼中主要校驗(yàn)了客戶端傳來的returnUrl參數(shù)值,使用java.net.URL包中的getHost()方法獲取了將要跳轉(zhuǎn)url的host,判斷host是否為目標(biāo)域,上述代碼中限制了必須跳轉(zhuǎn)到xxx.bbb.com的域名,從而排除了跳轉(zhuǎn)到不可信域名的可能。

但是,getHost()方法真的靠譜嗎??

getHost()方法的坑之一

可以被反斜線繞過,即returnUrl=http://www.aaa.com\www.bbb.com會(huì)被代碼認(rèn)為是將要跳轉(zhuǎn)到bbb.com,而實(shí)際在瀏覽器中反斜線被糾正為正斜線,跳轉(zhuǎn)到www.aaa.com/www.bbb.com,最終還是跳到www.aaa.com的服務(wù)器。

使用下列代碼進(jìn)行測(cè)試:

 
 
 
 
    
  
  
  
  
  1. public class Main { 
    2. 
  
  
  
  
  2.  
    3. 
  
  
  
  
  3.     public static void main(String[] args) { 
    4. 
  
  
  
  
  4.         String url = "https://www.aaa.com\\www.bbb.com?x=123"; 
    5. 
  
  
  
  
  5.         String host = ""; 
    6. 
  
  
  
  
  6.         try { 
    7. 
  
  
  
  
  7.             host = new URL(url).getHost(); 
    8. 
  
  
  
  
  8.         } catch (MalformedURLException e) { 
    9. 
  
  
  
  
  9.             e.printStackTrace(); 
    10. 
  
  
  
  
  10.         } 
    11. 
  
  
  
  
  11.         System.out.println("host---"+host); 
    12. 
  
  
  
  
  12.         System.out.println("url---"+url); 
    13. 
  
  
  
  
  13.     } 
    14. 
  
  
  
  
    15.

url參數(shù)的域名getHost()之后是www.aaa.com還是www.bbb.com呢?打印結(jié)果如下:

該結(jié)果會(huì)被endsWith(“.bbb.com”)方法判斷為真,從而成功執(zhí)行跳轉(zhuǎn),但實(shí)際在瀏覽器中跳轉(zhuǎn)到了www.aaa.com網(wǎng)站。

getHost()方法的坑之二

getHost()方法的結(jié)果在不同JDK版本中對(duì)井號(hào)#的處理結(jié)果不同,通常井號(hào)被用作頁(yè)面錨點(diǎn),對(duì)于https://www.aaa.com#www.bbb.com?x=123這個(gè)url,較高版本的JDK中,取出結(jié)果為www.aaa.com,低版本中為www.aaa.com#www.bbb.com,從而低版本又可繞過endsWith(“.bbb.com”)方法,成功跳轉(zhuǎn)。

這里所說的高版本指的是java version 1.8.0_181或者java version 1.7.0_161中的181和161,與JDK7還是8無關(guān)。可能java在某個(gè)時(shí)間集中修復(fù)了JDK6/7/8中的URL庫(kù)。

測(cè)試過程中發(fā)現(xiàn)1.6.0_45,1.7.0_71,1.8.0_25均可被#繞過,即不同的JDK中低版本均存在問題。

通過對(duì)比rt.jar---java---net--URLStreamHandler.java代碼(低版本為左邊,高版本為右邊)找到問題所在如下圖所示,代碼中的start為url中冒號(hào)位置,limit為url中井號(hào)位置:

從代碼中可以發(fā)現(xiàn),低版本中未考慮到一個(gè)完整url中斜線/或者問號(hào)?之前會(huì)出現(xiàn)井號(hào)#的情況,如果url中有斜線/或者問號(hào)?,取host就以斜線或者問號(hào)為終止,即使中間包含井號(hào)也不處理;而高版本中進(jìn)行了井號(hào)位置的判斷,排除了使用井號(hào)繞過的可能。但是線上生成環(huán)境的JDK版本又不是敢隨便亂升級(jí)的,只能從代碼里提前預(yù)防。

下圖為使用不同版本JDK測(cè)試的結(jié)果:

同一段代碼在不同JDK版本中打印出的host值不同,在低版本中包含了井號(hào)及其后邊的部分。

綜合上述兩個(gè)坑,若想使用getHost()來修復(fù)任意URL跳轉(zhuǎn)漏洞,需要考慮到反斜線和井號(hào)繞過,可使用如下代碼:

 
 
 
 
    
  
  
  
  
  1. String url = request.getParameter("returnUrl"); 
    2. 
  
  
  
  
  2. String host = ""; 
    3. 
  
  
  
  
  3. try { 
    4. 
  
  
  
  
  4.     urlurl = url.replaceAll("[\\\\#],"/"); //替換掉反斜線和井號(hào) 
    5. 
  
  
  
  
  5.     host = new URL(url).getHost();   
    6. 
  
  
  
  
  6. } catch (MalformedURLException e) { 
    7. 
  
  
  
  
  7.     e.printStackTrace(); 
    8. 
  
  
  
  
    9. 
  
  
  
  
  9. if host.endsWith(".bbb.com"){ 
    10. 
  
  
  
  
  10.     //跳轉(zhuǎn) 
    11. 
  
  
  
  
  11. }else{ 
    12. 
  
  
  
  
  12.     //不跳轉(zhuǎn),報(bào)錯(cuò) 
    13. 
  
  
  
  
    14.

附送一個(gè)真實(shí)例子

該站可使用井號(hào)配合斜線或者問號(hào)來繞過域名檢測(cè),即將target設(shè)置為URL編碼后的https://www.baidu.com#www.bbb.com?x=123,該站即可302跳轉(zhuǎn)到百度。


名稱欄目:任意URL跳轉(zhuǎn)漏洞修復(fù)與JDK中g(shù)etHost()方法之間的坑
轉(zhuǎn)載來于:http://www.dlmjj.cn/article/dhdciej.html