CWE-601:URL 重定向到不受信任的站点(“开放重定向”) https://cwe.mitre.org/data/definitions/601.html
描述Open Redirect:
http 参数可能包含 URL 值,并可能导致 Web 应用程序将请求重定向到指定的 URL。通过修改恶意站点的 URL 值,攻击者可能会成功发起网络钓鱼诈骗并窃取用户凭据。由于修改后的链接中的服务器名称与原始站点相同,因此网络钓鱼尝试看起来更值得信赖。
的建议input validation防止开放重定向攻击的策略:
假设所有输入都是恶意的。使用“接受已知良好”的输入验证策略,即使用严格符合规范的可接受输入白名单。拒绝任何不严格符合规范的输入,或将其转换为严格符合规范的内容。
不要仅依赖于查找恶意或格式错误的输入(即不要依赖黑名单)。黑名单可能会错过至少一个不需要的输入,尤其是在代码环境发生变化的情况下。这可以为攻击者提供足够的空间来绕过预期的验证。然而,黑名单对于检测潜在的攻击或确定哪些输入格式错误以至于应该被彻底拒绝非常有用。
使用已批准的 URL 或域的白名单来进行重定向。
Use req.headers.host, req.host or req.hostname是不安全的,因为req.headers可以伪造(例如,HTTP 请求有一个自定义的Host用于访问用下面的代码编写的 Express 应用程序的标头)
var url = require('url');
app.get('/login', function (req, res, next) {
var redirect = req.query.redirect,
targetUrl = url.parse(redirect);
console.log('req.headers.host: [%s]', req.headers.host);
console.log('req.host: [%s]', req.host);
console.log('req.hostname: [%s]', req.hostname);
if (targetUrl.host != req.headers.host) {
return next(new Error('Open redirect attack detected'));
}
return res.redirect(redirect);
});
Use curl提出请求:
$ curl -H 'Host: malicious.example.com' 'http://localhost:3012/login?redirect=http://malicious.example.com' -i
HTTP/1.1 302 Found
X-Powered-By: Express
Location: http://malicious.example.com
Vary: Accept
Content-Type: text/plain; charset=utf-8
Content-Length: 54
Date: Mon, 13 Jun 2016 06:30:55 GMT
Connection: keep-alive
$ #server output
req.headers.host: [malicious.example.com]
req.host: [malicious.example.com]
req.hostname: [malicious.example.com]
我建议您使用白名单来验证输入,示例代码如下:
const WHITELIST_TO_REDIRECT = new Set(["localhost:3012", "www.realdomain.com"]);
app.get('/login', function (req, res, next) {
var redirect = req.query.redirect,
targetUrl = url.parse(redirect);
console.log("req.hostname: [%s]", req.hostname);
console.log("url.host: [%s]", targetUrl.host);
if (!WHITELIST_TO_REDIRECT.has(targetUrl.host)) {
return next(new Error('Open redirect attack detected'));
}
return res.redirect(redirect);
});
