第11章：開放重定向

與IFrame框架釣魚攻擊要點開放重定向與IFrame框架釣魚攻擊采用技術(shù)開放重定向攻擊

IFrame框架釣魚攻擊實例:Testasp網(wǎng)站未經(jīng)認證的跳轉(zhuǎn)相關(guān)安全漏洞披露1開放重定向與IFrame框架釣魚攻擊采用技術(shù)開放重定向是指那些通過請求（如登錄或提交數(shù)據(jù)）將要跳轉(zhuǎn)到下一個頁面的URL，有可能會被篡改，而把用戶重定向到外部的惡意URL。IFrame框架釣魚經(jīng)常被用來獲得合法用戶的身份，從而以合法用戶的身份做惡意操作。開放重定向利用的是頁面提交后篡改返回技術(shù)，所有涉及頁面數(shù)據(jù)提交跳轉(zhuǎn)的頁面都有可能被篡改導致這類攻擊。IFrame框架釣魚利用的是HTML中的IFrame技術(shù)，所有頁面可以填空的地方或者URL參數(shù)都有可能被IFrame攻擊代碼侵入，導致框架釣魚攻擊發(fā)生。2開放重定向攻擊所謂開放重定向（OpenRedirect），也稱未經(jīng)認證的跳轉(zhuǎn)，是指當受害者訪問給定網(wǎng)站的特定URL時，該網(wǎng)站指引受害者的瀏覽器在單獨域上訪問完全不同的另一個URL，會發(fā)生開放重定向漏洞。2.1開放重定向攻擊手法開放重定向出現(xiàn)的主要原因在于一個頁面/功能操作完成后，跳轉(zhuǎn)到另一個頁面，網(wǎng)站開發(fā)工程師忘記驗證待跳轉(zhuǎn)URL的合法性。常見的樣例為：response.sendRedirect("");response.sendRedirect(request.getParameter("backurl"));response.sendRedirect(request.getParameter("returnurl"));response.sendRedirect(request.getParameter("forwardurl"));常見的URL參數(shù)名為backurl,returnurl,forwardurl等，也有是簡寫的參數(shù)名如bu,fd,fw等，攻擊者通過篡改這些URL里面的值，返回到攻擊者預設(shè)的網(wǎng)頁。2.2開放重定向攻擊防護方法1.開放重定向攻擊總體防護思想（1）避免使用重定向和轉(zhuǎn)發(fā)。（2）如果使用，系統(tǒng)應該有一個驗證URL的方法。（3）建議將任何此類URL目標輸入映射到一個值，而不是實際URL或部分URL，服務器端代碼將該值轉(zhuǎn)換為目標URL。（4）通過創(chuàng)建可信URL的列表（主機或正則表的列表）來消除非法輸入。（5）強制所有意外重定向，首先通過一個頁面通知用戶他們正在離開您的網(wǎng)站，并讓他們點擊鏈接確認。更多請參考書籍3IFrame框架釣魚攻擊所謂IFrame框架釣魚攻擊，是指在HTML代碼中嵌入IFrame攻擊，IFrame是可用于在HTML頁面中嵌入一些文件(如文檔，視頻等)的一項技術(shù)。對IFrame最簡單的解釋就是“IFrame是一個可以在當前頁面中顯示其它頁面內(nèi)容的技術(shù)”。3.1IFrame框架釣魚攻擊手法IFrame的安全威脅也是作為一個重要的議題被討論著，因為IFrame的用法很常見，許多知名的社交網(wǎng)站都會使用到它。使用IFrame的方法如下：<iframesrc=”http://www.2”></iframe>3.2IFrame框架釣魚攻擊防護方法1.

IFrame框架釣魚總體防護思想（1）所有能輸入的框，攻擊者都可以填寫框架釣魚語法，進行攻擊測試，所以要禁止用戶輸入形如下面的IFrame代碼段：<iframesrc=XXX.XXX.XXX>（2）不僅要防護自己的網(wǎng)站不能被框架到其他網(wǎng)站中，也要防護自己的網(wǎng)站不能框架別人的網(wǎng)站。2.能防護IFrame框架釣魚正確代碼段以JavaEE軟件開發(fā)為例，補充Java后臺代碼如下：//topreventallframingofthiscontentresponse.addHeader("X-FRAME-OPTIONS","DENY");//toallowframingofthiscontentonlybythissiteresponse.addHeader("X-FRAME-OPTIONS","SAMEORIGIN");就可以進行服務器端的驗證，攻擊者是無法繞過服務器端驗證的，從而確保網(wǎng)站不會被框架釣魚利用，此種解決方法是目前最為安全的解決方案。實驗Testasp網(wǎng)站未經(jīng)認證的跳轉(zhuǎn)缺陷標題：國外網(wǎng)站testasp>存在URL重定向釣魚的風險測試平臺與瀏覽器：Windows10+Chrome或Firefox瀏覽器

測試步驟：打開網(wǎng)站:點擊login鏈接。觀察登錄頁面瀏覽器地址欄的URL地址，里面有一個RetURL。篡改RetURL值為：，并運行篡改后的URL。在登錄頁面輸入admin’--

登錄，也可以自己注冊賬戶登錄。期望結(jié)果：即使登錄成功，也不能跳轉(zhuǎn)到baidu網(wǎng)站。

實際結(jié)果：正常登錄，并自動跳轉(zhuǎn)到baidu網(wǎng)站。實驗Testasp網(wǎng)站未經(jīng)認證的跳轉(zhuǎn)實驗Testasp網(wǎng)站未經(jīng)認證的跳轉(zhuǎn)5近期開放重定向與IFrame框架釣魚相關(guān)安全漏洞披露漏洞號影響產(chǎn)品漏洞描述CNVD-2020-04820OAuth2Proxy<5.0OAuth2Proxy存在開放重定向輸入驗證漏洞，遠程攻擊者可利用該漏洞提交惡意的URI，誘使用戶解析，可進行重定向攻擊，獲取敏感信息劫持會話等。CNVD-2020-01654RedHatkeycloakRedHatKeyCloak中存在開放重定向漏洞，攻擊者可利用該漏洞將用戶重定向到任意網(wǎng)站來進行網(wǎng)絡釣魚攻擊。CNVD-2019-41858FujiXeroxApeosWareManagementSuite<=8FujiXeroxApeosWareManagementSuite2<=FujiXeroxApeosWareManagementSuite8及之前版本和ApeosWareManagementSuite2及之前版本中存在開放重定向漏洞，攻擊者可利用該漏洞將用戶重定向到任意網(wǎng)站。CNVD-2019-39758IBMInfoSphereInformationServeronCloud11.7IBMInfoSphereInformationAnalyzer多款I(lǐng)BM產(chǎn)品中存在開放重定向漏洞，攻擊者可通過誘使用戶訪問特制的網(wǎng)站利用該漏洞將用戶重定向到惡意的網(wǎng)站，獲取敏感信息或?qū)嵤┢渌?。CNVD-2019-36962PowerCMSPowerCMS5.*，<=5.12PowerCMSPowerCMS4.*，<=4.42PowerCMS是一款內(nèi)容管理系統(tǒng)。PowerCMS存在開放重定向漏洞，攻擊者可利用該漏洞將用戶重定向到任意網(wǎng)站。CNVD-2016-11479Drupalcore7.x<7.52Drupalcore8.x<8.2.3Drupal7.52之前的7.x版本和8.2.3之前的8.x版本中的Core存在安全漏洞。攻擊者可通過構(gòu)造惡意的URL利用該漏洞實施釣魚攻擊。CNVD-2016-06058IBMFileNetWorkplace4.0.2IBMFileNetWorkplace4.0.2版本中存在釣魚攻擊漏洞。遠程攻擊者可通過構(gòu)造惡意的URL，誘使用戶打開鏈接利用該漏洞實施釣魚攻擊，獲取敏感信息。CNVD-2016-00029WordPressiframe3.0Wordpress插件iframe存在跨站腳本漏洞。攻擊者可利用漏洞竊取基于cookie的身份驗證。CNVD-2012-1762GoogleChrome<18.0.1025.151GoogleChrome是一款流行的WEB瀏覽器。GoogleChrome存在一個跨域iFrame置換漏洞。允許攻擊者構(gòu)建惡意WEB頁，誘使用戶解析，獲得敏感信息。CNVD-2016-00030WordPressiframe3.0WordPress是WordPress軟件基金會的一套使用PHP語言開發(fā)的博客平臺，Wordpress插件iframe存在HTML注入漏洞。攻擊者可利用漏洞在受影響瀏覽器上下文中執(zhí)行HTML或腳本代碼。第12章：CSRF-SSRF

與遠程代碼執(zhí)行攻擊要點

CSRF/SSRF與遠程代碼攻擊采用技術(shù)

CSRF攻擊

SSRF攻擊實例:新浪weibo存在CSRF攻擊漏洞相關(guān)安全漏洞披露遠程代碼攻擊1CSRF/SSRF與遠程代碼攻擊采用技術(shù)CSRF也稱XSRF是一種挾制用戶在當前已登錄的Web應用程序上執(zhí)行非本意的操作的攻擊方法，這種攻擊非常隱蔽并且危害性大，多年位于OWASP攻擊前十名，被稱為“沉睡的雄獅”。SSRF是一種由攻擊者構(gòu)造形成由服務端發(fā)起請求的一個安全漏洞。遠程代碼執(zhí)行簡稱RCE也是網(wǎng)絡中令人頭痛的一種攻擊方式。CSRF攻擊運用的是混淆代理人技術(shù)，在合法用戶不知情的情況下進行了一些非法操作，這主要利用的是Web隱式認證技術(shù)。SSRF與CSRF攻擊比較類似，不過這種攻擊主要針對服務器端。RCE攻擊是精心構(gòu)造的遠程代碼執(zhí)行攻擊。2CSRF攻擊跨站請求偽造（Cross-SiteRequestForgery：CSRF）也被稱為“OneClickAttack”或“SessionRiding”或“ConfusedDeputy”，它是通過第三方偽造用戶請求來欺騙服務器，以達到冒充用戶身份、行使用戶權(quán)利的目的。通?？s寫為CSRF或者XSRF，是一種對網(wǎng)站的惡意利用。2.1CSRF攻擊手法CSRF之所以能夠廣泛存在，主要原因是Web身份認證及相關(guān)機制的缺陷，而當今Web身份認證主要包括隱式認證、同源策略、跨域資源共享、Cookie安全策略、Flash安全策略等。假設(shè)某銀行網(wǎng)站A以GET請求來發(fā)起轉(zhuǎn)賬操作，轉(zhuǎn)賬的地址為：/transfer.do?accountNum=l000l&money=10000，參數(shù)accountNum表示轉(zhuǎn)賬的賬戶，參數(shù)money表示轉(zhuǎn)賬金額。或者假設(shè)銀行將其轉(zhuǎn)賬方式改成POST提交如下：<formaction="/transfer.do"metdod="POST">

<inputtype="text"name="accountNum"value="10001"/>

<inputtype="text"name="money"value="10000"/></form>因為沒有CSRFToken的檢驗機制，這個URL或表單容易被偽造出來，讓合法權(quán)限的人去訪問或點擊，導致攻擊成功。2.2CSRF防護方法對CSRF攻擊防護方法主要有：（1）盡量使用POST，限制GET（2）將Cookie設(shè)置為HttpOnly（3）通過Referer識別（4）增加驗證token3SSRF攻擊服務器端請求偽造（Server-SideRequestForgery：SSRF）是一種由攻擊者構(gòu)造形成由服務端發(fā)起請求的一個安全漏洞。一般情況下，SSRF攻擊的目標是從外網(wǎng)無法訪問的內(nèi)部系統(tǒng)。（正是因為它是由服務端發(fā)起的，所以它能夠請求到與它相連而與外網(wǎng)隔離的內(nèi)部系統(tǒng)。）3.1SSRF攻擊手法SSRF形成的原因大多是由于服務端提供了從其他服務器應用獲取數(shù)據(jù)的功能且沒有對目標地址做過濾與限制。比如從指定URL地址獲取網(wǎng)頁文本內(nèi)容，加載指定地址的圖片、下載等等。if(isset($_GET[‘url’])){

$url=$_GET[‘url’];

$image=fopen($url,‘rb’);

header(“Content-Type:image/png”);

fpassthru($image);}?本例的攻擊示例，如果把URL改成以下的樣式，就可能產(chǎn)生以下SSRF攻擊：獲取服務器上任意文件：/?url=file:///etc/passwd探測服務器所在內(nèi)網(wǎng)：/?url=:8088/test.php攻擊服務器內(nèi)網(wǎng)中的服務器：/?url=:8088/control.php?off=1攻擊服務器上其他服務：/?url=dict://localhost:11211/stat把服務器作為跳板：/?url=/info.php?id=’or‘a(chǎn)’=’a3.2SSRF防護方法對SSRF攻擊防護方法主要有：（1）使用地址白名單。（2）對返回內(nèi)容進行識別。（3）需要使用互聯(lián)網(wǎng)資源（比如貼吧使用網(wǎng)絡圖片）而無法使用白名單的情況：首先禁用CURLOPT_FOLLOWLOCATION；然后通過域名獲取目標ip，并過濾內(nèi)部ip；最后識別返回的內(nèi)容是否與假定內(nèi)容一致。對于SSRF防護的建議：（1）禁用不需要的協(xié)議，僅僅允許http和https請求，可以防止類似于file://,gopher://,ftp://等引起的問題。（2）服務端需要認證交互，禁止非正常用戶訪問服務。（3）過濾輸入信息，永遠不要相信用戶的輸入，判斷用戶的輸入是否是一個合理URL地址。（4）過濾返回信息，驗證遠程服務器對請求的響應是比較容易的方法，如果web應用是去獲取某一種類型的文件。那么在把返回結(jié)果展示給用戶之前先驗證返回的信息是否符合標準。（5）統(tǒng)一錯誤信息，避免用戶可以根據(jù)錯誤信息來判斷遠端服務器的端口狀態(tài)。（6）設(shè)置URL白名單或限制內(nèi)網(wǎng)IP。4遠程代碼執(zhí)行攻擊遠程代碼執(zhí)行漏洞（RemoteCodeExecution：RCE）：用戶通過瀏覽器提交執(zhí)行命令，由于服務器端沒有針對執(zhí)行函數(shù)做過濾，導致在沒有指定絕對路徑的情況下就執(zhí)行命令，可能會允許攻擊者通過改變$PATH或程序執(zhí)行環(huán)境的其他方面來執(zhí)行一個惡意構(gòu)造的代碼。4.1遠程代碼執(zhí)行攻擊手法遠程代碼執(zhí)行攻擊產(chǎn)生的原因：由于開發(fā)人員編寫源碼，沒有針對代碼中可執(zhí)行的特殊函數(shù)入口做過濾，導致客戶端可以提交惡意構(gòu)造語句，并交由服務器端執(zhí)行。遠程代碼執(zhí)行攻擊中WEB服務器沒有過濾類似system()，eval()，exec()等函數(shù)是該漏洞攻擊成功的最主要原因。根據(jù)OWASP說明：使用命令注入，從而導致易受攻擊的應用程序能在主機操作系統(tǒng)上執(zhí)行任意命令。可能如下代碼所示：$var=$_GET['page'];eval($var);

這里，易受攻擊的應用程序可能使用URL

index.php?page=1。但是，如果用戶輸入index.php?page=1;phpinfo()，應用程序?qū)?zhí)行phpinfo()函數(shù)并返回其內(nèi)容。如果用戶輸入index.php?page=file://C:/Windows/System32/calc.exe,可能會執(zhí)行Windows系統(tǒng)自帶的計算器程序。4.2遠程代碼執(zhí)行攻擊防護方法不做限制的用戶輸入，就可能會導致遠程代碼執(zhí)行攻擊，同時含有遠程代碼攻擊漏洞的第三次庫或中間件如果沒有及時升級與加固也會出現(xiàn)這種攻擊。更多詳情，請參考書籍實驗新浪weibo存在CSRF攻擊漏洞缺陷標題：新浪weibo存在CSRF攻擊漏洞測試平臺與瀏覽器：Windows7+Chrome或Firefox瀏覽器測試步驟：打開新浪weibo：。登錄進入新浪weibo，嘗試查看退出的鏈接/logout.php?backurl=%2F。在瀏覽器中直接運行登出鏈接。期望結(jié)果：不會直接登出。實際結(jié)果：沒有任何提示信息，直接登出新浪weibo。導致新浪weibo能任意偽造登出鏈接，讓任何一個用戶點擊后退出系統(tǒng)。實驗新浪weibo存在CSRF攻擊漏洞5近期CSRF/SSRF與遠程代碼執(zhí)行相關(guān)安全漏洞披露漏洞號影響產(chǎn)品漏洞描述CNVD-2019-08345JoomlaARIImageSlider2.2.0Joomla是一套開源的內(nèi)容管理系統(tǒng)(CMS)。JoomlaAriImageSlider存在CSRF后門訪問漏洞。攻擊者可利用漏洞欺騙客戶機向Web服務器發(fā)出無意請求，可能導致數(shù)據(jù)暴露或意外的代碼執(zhí)行。CNVD-2018-17499校無憂科技校無憂企業(yè)網(wǎng)站系統(tǒng)v1.7校無憂企業(yè)網(wǎng)站系統(tǒng)v1.7版本存在CSRF漏洞,遠程攻擊者可利用該漏洞添加管理員賬戶或其他用戶賬戶。CNVD-2018-01003信呼信呼協(xié)同辦公系統(tǒng)v1.6.3信呼同辦公系統(tǒng)V1.6.3版本多處存在跨站腳本和CSRF漏洞，攻擊者可利用該漏洞竊取cookies信息，插入js腳本代碼或偽造跨站請求進行攻擊。CNVD-2017-35553中興通訊股份有限公司

ZXV10H108BV2.0.0ZXV10H108LaV2.0.0中興ZXV10H108B無線貓存在CSRF漏洞，允許攻擊