查看原文
其他

任意URL跳转漏洞修复与JDK中getHost()方法之间的坑

黑加白 京东技术 2019-05-29
Tech




任意URL跳转漏洞



漏洞简单介绍:服务端未对传入的跳转URL变量进行检查和控制,导致可恶意构造任意一个恶意地址,诱导用户跳转到恶意网站。由于是从可信的站点跳转出去的,用户会比较信任,所以跳转漏洞一般用于钓鱼攻击,通过转到恶意网站欺骗用户输入用户名和密码盗取用户信息,或欺骗用户进行金钱交易。


修复该漏洞最有效的方法之一就是校验传入的跳转URL参数值,判断是否为预期域名。在Java中可使用下列方法:


  1. String url = request.getParameter("returnUrl");

  2. String host = "";

  3. try {

  4. host = new URL(url).getHost();

  5. } catch (MalformedURLException e) {

  6. e.printStackTrace();

  7. }

  8. if host.endsWith(".bbb.com"){

  9. //跳转

  10. }else{

  11. //不跳转,报错

  12. }



上述代码中主要校验了客户端传来的returnUrl参数值,使用java.net.URL包中的getHost()方法获取了将要跳转URL的host,判断host是否为目标域,上述代码中限制了必须跳转到xxx.bbb.com的域名,从而排除了跳转到不可信域名的可能。


但是,getHost()方法真的靠谱吗?



getHost()方法的坑之一



可以被反斜线绕过,即returnUrl=http://www.aaa.com\www.bbb.com会被代码认为是将要跳转到bbb.com,而实际在浏览器中反斜线被纠正为正斜线,跳转到www.aaa.com/www.bbb.com,最终还是跳到www.aaa.com的服务器。


使用下列代码进行测试:


  1. public class Main {


  2. public static void main(String[] args) {

  3. String url = "https://www.aaa.com\\www.bbb.com?x=123";

  4. String host = "";

  5. try {

  6. host = new URL(url).getHost();

  7. } catch (MalformedURLException e) {

  8. e.printStackTrace();

  9. }

  10. System.out.println("host---"+host);

  11. System.out.println("url---"+url);

  12. }

  13. }



URL参数的域名getHost()之后是www.aaa.com还是www.bbb.com呢?打印结果如下:



该结果会被endsWith(“.bbb.com”)方法判断为真,从而成功执行跳转,但实际在浏览器中跳转到了www.aaa.com网站。



getHost()方法的坑之二



getHost()方法的结果在不同JDK版本中对井号#的处理结果不同,通常井号被用作页面锚点,对于https://www.aaa.com#www.bbb.com?x=123这个URL,较高版本的JDK中,取出结果为www.aaa.com,低版本中为www.aaa.com#www.bbb.com,从而低版本又可绕过endsWith(“.bbb.com”)方法,成功跳转。


这里所说的高版本指的是java version 1.8.0_181或者java version 1.7.0_161中的181和161,与JDK7还是8无关。可能Java在某个时间集中修复了JDK6/7/8中的URL库。


测试过程中发现1.6.0_451.7.0_711.8.0_25均可被#绕过,即不同的JDK中低版本均存在问题。


通过对比rt.jar---java---net--URLStreamHandler.java代码(低版本为左边,高版本为右边)找到问题所在如下图所示,代码中的start为URL中冒号位置,limit为URL中井号位置:



从代码中可以发现,低版本中未考虑到一个完整URL中斜线/或者问号?之前会出现井号#的情况,如果URL中有斜线/或者问号?,取host就以斜线或者问号为终止,即使中间包含井号也不处理;而高版本中进行了井号位置的判断,排除了使用井号绕过的可能。但是线上生成环境的JDK版本又不是敢随便乱升级的,只能从代码里提前预防。


下图为使用不同版本JDK测试的结果:


同一段代码在不同JDK版本中打印出的host值不同,在低版本中包含了井号及其后边的部分。



综合上述两个坑,若想使用getHost()来修复任意URL跳转漏洞,需要考虑到反斜线和井号绕过,可使用如下代码:


  1. String url = request.getParameter("returnUrl");

  2. String host = "";

  3. try {

  4. url = url.replaceAll("[\\\\#],"/"); //替换掉反斜线和井号

  5. host = new URL(url).getHost();

  6. } catch (MalformedURLException e) {

  7. e.printStackTrace();

  8. }

  9. if host.endsWith(".bbb.com"){

  10. //跳转

  11. }else{

  12. //不跳转,报错

  13. }



附送一个真实例子



该站可使用井号配合斜线或者问号来绕过域名检测,即将target设置为URL编码后的https://www.baidu.com#www.bbb.com?x=123,该站即可302跳转到百度。




推荐阅读


你真的掌握 LVS、Nginx 及 HAProxy 的工作原理吗?

谛听|大规模主机监控告警平台的架构演变

技术解析 | 线下门店消费场景中的感知和互动

工程算法一体化平台架构实践

京东JDK的探索与研究 (一)


好看的话,请点这里

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存