官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

Web安全

第34期：重定向

2019-05-30 08:31:09

代码审计是使用静态分析发现源代码中安全缺陷的方法，辅助开发或测试人员在软件上线前较为全面地了解安全问题,防患于未然，因此一直以来都是学术界和产业界研究的热点，并已成为安全开发生命周期 SDL 和 DevSecOps 等保障体系的重要技术手段。

奇安信代码卫士团队基于自主研发的国内首款源代码安全检测商用工具，以及十余年漏洞技术研究的积累，推出“缺陷周话”系列栏目。每周针对 CWE、OWASP 等标准中的一类缺陷，结合实例和工具使用进行详细介绍，旨在为广大开发和安全人员提供代码审计的基础性标准化教程。

1、重定向

重定向漏洞是指Web应用程序接受用户控制的输入，该输入指向外部站点的URL，攻击者通过对URL进行编码或者携带参数，令篡改后的URL在看起来与原始站点URL很像，并在重定向时使用该URL，导致用户进入恶意站点。本篇文章以JAVA语言源代码为例，分析重定向漏洞产生的原因以及修复方法。详细请参见CWE ID 601:URL Redirection toUntrusted Site ('Open Redirect') (http://cwe.mitre.org/data/definitions/601.html)。

2、重定向的危害

利用重定向漏洞可以诱使用户访问恶意站点，盗取用户密码记录、强制用户下载任意文件等。

从2019年1月至2019年5月，CVE中共有30条漏洞信息与其相关。部分漏洞如下：

CVE	概况
CVE-2019-4166	IBM StoredIQ 7.6 可能允许远程攻击者使用重定向进行网络钓鱼攻击。通过说服受害者访问特制网站，远程攻击者可以利用此漏洞显示携带恶意参数的正常URL，以将用户重定向到看似可信的恶意网站。这可能允许攻击者获取高度敏感的信息或对受害者进行进一步攻击。
CVE-2019-10255	5.7.7 之前的 Jupyter Notebook 中的所有浏览器以及 0.9.5 之前的JupyterHub中的某些浏览器（Chrome，Firefox）的重定向漏洞允许精心设置的登录页面链接，登录页面成功登录后将重定向到恶意站点。在base_url前缀上运行的服务器不受影响。
CVE-2019-3850	moodle在版本3.6.3,3.5.5,3.4.8和3.1.17之前存在一个重定向漏洞。作业提交评论中的链接将直接打开（在同一窗口中）。虽然链接本身可能是有效的，但在同一窗口内打开并且没有no-referrer头策略使它们更容易受到攻击。

3、示例代码

示例源于 Samate Juliet Test Suite for Java v1.3 (https://samate.nist.gov/SARD/testsuite.php)，源文件名：CWE601_Open_Redirect__Servlet_connect_tcp_01.java。

3.1缺陷代码

34-3-1代码1.png 34-3-1代码2.png

上述示例代码是获取到用户输入的数据并将该数据作为重定向的URL地址进行跳转，在第54行获取 Socket 对象从客户端发送给服务器端的数据流， InputStreamReader 是从字节流到字符流的桥接器，使用 UTF-8 读取字节并将它们解码为字符。第56行将 readerInputStream作为参数构造字符缓冲输入流，59行缓冲流读取一行数据并赋值给 data。在第125行 response 重定向到 data 指定的 URL。该URL并未被校验，无法确定是否安全，未验证的重定向可能会使用户进入钓鱼网站，窃取用户信息等，会对用户的信息以及财产安全造成严重的威胁。

使用代码卫士对上述示例代码进行检测，可以检出“重定向”缺陷，显示等级为高。在代码行第125行报出缺陷，如图1所示：

34-3-1图.png