什么是不安全的重定向?

成都創(chuàng)新互聯(lián)是一家專(zhuān)業(yè)提供金水企業(yè)網(wǎng)站建設(shè),專(zhuān)注與網(wǎng)站設(shè)計(jì)、做網(wǎng)站、成都h5網(wǎng)站建設(shè)、小程序制作等業(yè)務(wù)。10年已為金水眾多企業(yè)、政府機(jī)構(gòu)等服務(wù)。創(chuàng)新互聯(lián)專(zhuān)業(yè)網(wǎng)絡(luò)公司優(yōu)惠進(jìn)行中。

對(duì)于任何web開(kāi)發(fā)人員來(lái)說(shuō)，不安全或未經(jīng)驗(yàn)證的重定向都是重要的安全考慮因素。Express為重定向提供了本地支持，使它們易于實(shí)現(xiàn)和使用。然而，Express將執(zhí)行輸入驗(yàn)證的工作留給了開(kāi)發(fā)人員。Express是一種保持最低程度規(guī)模的靈活Node.js Web應(yīng)用程序框架，為Web和移動(dòng)應(yīng)用程序提供一組強(qiáng)大的功能。

下面是OWASP.org網(wǎng)站給出的“未經(jīng)驗(yàn)證的重定向和轉(zhuǎn)發(fā)”的定義：

如果web應(yīng)用程序接受不可信的輸入，可能導(dǎo)致web應(yīng)用程序?qū)⒄?qǐng)求重定向到不可信輸入中包含的URL，則可以進(jìn)行未經(jīng)驗(yàn)證的重定向和轉(zhuǎn)發(fā)。

重定向通常在登錄和身份驗(yàn)證過(guò)程中使用，因此可以在登錄之前將用戶(hù)重定向到他們所在的頁(yè)面。但根據(jù)業(yè)務(wù)需求或應(yīng)用程序類(lèi)型而有所不同，也存在其他重定向情況。

[[246704]]

為什么要避免重定向?

不驗(yàn)證用戶(hù)輸入的重定向，可以使攻擊者具備發(fā)起網(wǎng)絡(luò)釣魚(yú)詐騙的條件，從而竊取用戶(hù)憑據(jù)并執(zhí)行其他惡意操作。

注意：當(dāng)在Node.js或Express中實(shí)現(xiàn)重定向時(shí)，在服務(wù)器端執(zhí)行輸入驗(yàn)證很重要。

如果攻擊者發(fā)現(xiàn)用戶(hù)沒(méi)有驗(yàn)證外部用戶(hù)提供的輸入，他們可能會(huì)利用這個(gè)漏洞在論壇、社交媒體和其他公共場(chǎng)所發(fā)布專(zhuān)門(mén)設(shè)計(jì)的鏈接，讓用戶(hù)點(diǎn)擊它。

從表面上看，這些URL看起來(lái)合法且對(duì)用戶(hù)來(lái)說(shuō)并無(wú)威脅，這是因?yàn)樗羞@些要重定向的URL都包含目標(biāo)的主機(jī)名：

https://example.com/login?url=http://examp1e.com/bad/things

但是，如果服務(wù)器端重定向邏輯未驗(yàn)證輸入url參數(shù)的數(shù)據(jù)，則用戶(hù)可能最終會(huì)訪(fǎng)問(wèn)黑客所提前設(shè)置的網(wǎng)站(examp1e.com)，滿(mǎn)足攻擊的需求!以上只是攻擊者如何利用不安全重定向邏輯的一個(gè)例子。

不安全重定向例子并將其直接傳遞到Express res.redirect()方法中。因此，只要用戶(hù)通過(guò)身份驗(yàn)證，Express就會(huì)將用戶(hù)重定向到輸入或提供的URL。

 
 
 
 

  
  
  
  
var express = require('express'); 
  
  
  
  
var port = process.env.PORT || 3000; 
  
  
  
  
var app = express(); 
  
  
  
  
 
  
  
  
  
app.get('/login', function (req, res, next) { 
  
  
  
  
 
  
  
  
  
    if(req.session.isAuthenticated()) { 
  
  
  
  
 
  
  
  
  
        res.redirect(req.query.url); 
  
  
  
  
    } 
  
  
  
  
});  
  
  
  
  
 
  
  
  
  
app.get('/account', function (req, res, next) { 
  
  
  
  
    res.send('Account page'); 
  
  
  
  
}); 
  
  
  
  
 
  
  
  
  
app.get('/profile', function (req, res, next) { 
  
  
  
  
    res.send('Profile page'); 
  
  
  
  
}); 
  
  
  
  
 
  
  
  
  
app.listen(port, function() { 
  
  
  
  
    console.log('Server listening on port ' + port); 
  
  
  
  
}); 
 
 
 
 

輸入驗(yàn)證有助于防止不安全的重定向

通常，最好避免在代碼中使用重定向和轉(zhuǎn)發(fā)。如果你一定需要在代碼中使用重定向，則首選的方法是使用映射到特定目標(biāo)的預(yù)定義輸入，這被稱(chēng)為白名單方法。以下就是實(shí)現(xiàn)這種方法的一個(gè)具體樣本步驟：

• baseHostname會(huì)確保任何重定向都將用戶(hù)保留在研究人員的主機(jī)上;
• redirectMapping是一個(gè)對(duì)象，它將預(yù)定義的輸入(例如，傳遞給url paramer的內(nèi)容)映射到服務(wù)器上的特定路徑;
• validateRedirect()方法會(huì)判斷預(yù)定義的輸入是否存在，如果它們存在，則返回要重定向的適當(dāng)路徑;
• 研究人員修改了/login邏輯，然后將baseHostname+redirectPath變量連接在一起，這就避免了任何用戶(hù)提供的輸入內(nèi)容直接傳遞到Express res.redirect()方法中;
• 最后，研究人員使用encodeURI()方法作為額外的安全保證，確保連接字符串的URI部分被正確編碼，以允許干凈的重定向。

 
 
 
 

  
  
  
  
//Configure your whitelist 
  
  
  
  
var baseHostname = "https://example.com"; 
  
  
  
  
var redirectMapping = { 
  
  
  
  
    'account': '/account', 
  
  
  
  
    'profile': '/profile' 
  
  
  
  
} 
  
  
  
  
 
  
  
  
  
//Create a function to validate whitelist 
  
  
  
  
function validateRedirect(key) { 
  
  
  
  
    if(key in redirectMapping) { 
  
  
  
  
 
  
  
  
  
        return redirectMapping[key]; 
  
  
  
  
    }else{ 
  
  
  
  
 
  
  
  
  
        return false; 
  
  
  
  
    } 
  
  
  
  
} 
  
  
  
  
 
  
  
  
  
app.get('/login', function (req, res, next) { 
  
  
  
  
    if(req.session.isAuthenticated()) { 
  
  
  
  
        redirectPath = validateRedirect(req.query.url); 
  
  
  
  
 
  
  
  
  
        if(redirectPath) { 
  
  
  
  
            res.redirect(encodeURI(baseHostname + redirectPath)); 
  
  
  
  
        }else{ 
  
  
  
  
            res.send('Not a valid redirect!'); 
  
  
  
  
        } 
  
  
  
  
    } 
  
  
  
  
}); 
 
 
 
 

其他重定向場(chǎng)景

在某些情況下，將每個(gè)組合列入白名單是不切實(shí)際的，不過(guò)有些安全平臺(tái)仍然希望重定向用戶(hù)并將其保留在域內(nèi)某些邊界內(nèi)。當(dāng)外部提供的值遵循特定模式(例如16個(gè)字符的字母數(shù)字字符串)時(shí)，最好這樣做。字母數(shù)字字符串是理想的，因?yàn)樗鼈儾话魏慰赡芤肫渌舻奶厥庾址缒夸?路徑遍歷(依賴(lài)于諸如...和向后/向前斜杠之類(lèi)的字符)。

例如，安全平臺(tái)可能希望在用戶(hù)登錄后將其重定向回電子商務(wù)網(wǎng)站上的特定產(chǎn)品。由于電子商務(wù)網(wǎng)站對(duì)每種產(chǎn)品都有唯一的字母數(shù)字值，因此安全平臺(tái)可以通過(guò)始終根據(jù)RegEx白名單驗(yàn)證外部輸入來(lái)實(shí)現(xiàn)安全重定向。在本文所講的樣本在，研究者用的是productId變量。

 
 
 
 

  
  
  
  
//Configure your whitelist 
  
  
  
  
var baseHostname = "https://example.com"; 
  
  
  
  
 
  
  
  
  
app.get('/login', function (req, res, next) { 
  
  
  
  
    productId = (req.query.productId || ''); 
  
  
  
  
    whitelistRegEx = /^[a-zA-Z0-9]{16}$/; 
  
  
  
  
 
  
  
  
  
    if(productId) { 
  
  
  
  
         
  
  
  
  
        //Validate the productId is alphanumeric and exactly 16 characters 
  
  
  
  
        if(whitelistRegEx.test(productId)) { 
  
  
  
  
 
  
  
  
  
            res.redirect(encodeURI(baseHostname + '/item/' + productId)); 
  
  
  
  
        }else{ 
  
  
  
  
 
  
  
  
  
            //The productId did not meet the RegEx whitelist, so return an error 
  
  
  
  
            res.send('Invalid product ID'); 
  
  
  
  
        } 
  
  
  
  
    }else{ 
  
  
  
  
     
  
  
  
  
        //No productId was provided, so redirect to home page 
  
  
  
  
        res.redirect('/'); 
  
  
  
  
    } 
  
  
  
  
}); 
 
 
 
 

最后，安全平臺(tái)發(fā)出警告，警告用戶(hù)他們正在被自動(dòng)重定向是值得重視的。如果安全平臺(tái)有意將用戶(hù)重定向到域外，則可能需要在流程中創(chuàng)建一個(gè)中間頁(yè)面，該頁(yè)面會(huì)發(fā)出如下警告，并包含用戶(hù)要重定向到的URL。

注：本文是以Hailstone為例進(jìn)行講解的，Hailstone是一個(gè)應(yīng)用程序安全平臺(tái)，它有查找代碼中的漏洞功能。

分享標(biāo)題：如何防御Node.js中的不安全跳轉(zhuǎn)
URL鏈接：http://uogjgqi.cn/article/coipcie.html