来自 wooyun'drops --->呆子不开口

0x00 背景

随着水瓶月的到来,在祖国繁荣昌盛的今天,web系统的浏览器端也越来越重,很多的功能逻辑都放在了js中,前端的漏洞也越来越多。 我今天就说说location.href跳转的一些问题。

前端跳转常见的代码形式是:

#!javascript

location.href = "http://www.baidu.com";

在前端js中有可能是这样:

#!javascript

var hash = location.hash;

if(hash)

{

var url = hash.substring(1);

location.href = url;

}

0x01 常见的跳转漏洞

什么是跳转漏洞?突破了系统预期的跳转,就是跳转漏洞。大多数系统的预期是跳转到当前域url的http访问。

以上面的代码为例,hash值为攻击者可控,常见的漏洞形式可以为:

http://yigezangpao.com/test.html#http://jiajiba.taobao.com

这个地址会利用信任关系跳转到钓鱼网站

http://yigezangpao.com/test.html#javascript:alert(document.cookie)

这个会跳转到浏览器端的javascript协议而执行js,成了一个反射的xss,而且浏览器端的xssfilter对它无效

0x02 跳转漏洞的危害

可能的危害场景如下:

受害用户被骗点击进入了钓鱼站,可导致家破人亡妻离子散被网友拉黑……

在一些sns网站中,点击第三方网站时,可能会有安全提示,恶意网址则可利用信任域的身份,绕过了检查。

很多app带有二维码扫描功能,对本域或白名单域会不做提示,直接跳转访问。

当你扫描一个二维码的时候,你可能已经点击了一个恶意或含有某种攻击代码的网页javascript为协议的反射型xss。

一般的社区发表链接时,不会自动识别浏览器的伪协议,不会形成可点击的链接,但是利用跳转漏洞,则可以欺骗目标用户打开某个浏览器伪协议……

0x03 目前的防护的一些问题

我见到的常见的有防护有:

给变量前加"/"或者只有"/"开头的才跳转

替换变量中的":"

替换"http://"

匹配域名白名单

……

这几类或多或少有些问题,如下:

对于在变量前加/的,或者/开头才跳转的,他们预期的是控制在本域下。但当

#!javascript

location.href = "//diaoyuwangzhan.com"

时,浏览器会把后面的识别成一个标准的url来跳转,而不是一个绝对路径。

对于允许第三方跳转的,匹配域名白名单的,一定要写好正则的逻辑严格匹配url的标准格式,否则可能会被

http://yigezangpao.com.jiajiba.taobao.com

http://yigezangpao.com@jiajiba.taobao.com

http://jiajiba.taobao.com/yigezangpao.com

等绕过

对于替换”:“的防护:

twitter曾经犯过这样的错,twitter的程序员是这样改的:

#!javascript

var c = location.href.split("#!")[1];
    if (c) {
    window.location = c.replace(":", "");
    } else {
    return true;
    }

结果又被如下链接干:

http://twitter.com/#!javascript::alert(document.domain);

比第一次多了个:

因为replace()函数的第一个参数,按照规范中的方式,是要用正则写的。如果第一个参数是一个字符串,javascript默认只会替换掉他找到的第一个字符

0x04 比杨幂还神奇

对于上面的替换":"的方案,如果完全替换,是不是就没有问题了呢?

如果你曾觉得你的女友不可理喻,那么当我告诉你有一个东西的不可理喻程度已经达到你女友的50%时,你一定会惊呼,”天呐,竟然还有这么变态的东西!!!“ 不错,你猜的非常对,这个不可理喻的东西就是ie浏览器

如前文的例子,如果对方已经完全替换":",你试试在ie中访问如下链接

http://yigezangpao.com/test.html#javascript:alert(1)

也就是

#!javascript

location.href = "javascript:alert(1)"

你会惊奇的发现弹了,":"是":"的html编码,至于为什么会这样我不知道,我的是ie11,其他版本没测

0x05 解决方案

对于不允许跳转到第三方的,可以使用location.pathname来跳转,用这个跳转绝对靠谱。

有句成语”path就不是g产党员“就是修饰这个属性的,既然不是g党员,说明path是靠谱的。

对于允许跳转到第三方的,做好白名单的检查规则。

 

(转)调皮的location.href的更多相关文章

  1. 解决安卓微信浏览器中location.reload 或者 location.href失效的问题

    在移动wap中,经常会使用window.location.href去跳转页面,这个方法在绝大多数浏览器中都不会 存在问题,但早上测试的同学会提出了一个bug:在安卓手机的微信自带浏览器中,这个是失效的 ...

  2. window.top.location.href 和 window.location.href 的区别

    "window.location.href"."location.href"是本页面跳转. "parent.location.href" 是 ...

  3. 关于js中window.location.href,location.href,parent.location.href,top.location.href的用法

    "window.location.href"."location.href"是本页面跳转 "parent.location.href"是上一 ...

  4. window.location.href 中文乱码问题。。。。

    window.location.href 中文乱码问题.... 要解决此问题需要两次解码, 第一次解码: 是在页面中的js脚本中解码:window.location.href = "save ...

  5. javascript 中的location.href 并不是立即执行的,是在所在function 执行完之后执行的。

    javascript 中的location.href 并不是立即执行的,是在所在function 执行完之后执行的. 1 function getUrl(tp) { if (tp == 'd') { ...

  6. window.open和window.location.href的几种用法

    windows.open("URL","窗口名称","窗口外观设定"); <A href="javascript:windo ...

  7. 模板列onclick事件中绑定跳转页参数(onclick location.href Eval)

    <asp:GridView runat="server" ID="gvCheckList" AutoGenerateColumns="false ...

  8. 基于H5的移动端开发,window.location.href在IOS系统无法触发问题

    最近负责公司的微信公众号开发项目,基于H5进行开发,某些页面window.location.href在Android机上能正常运行而IOS系统上无法运行,导致无法重定向到指定页面,查了好久终于找到方法 ...

  9. 安卓微信浏览器中location.href失效的问题

    在移动web中,经常会使用window.location.href去跳转页面,这个方法在绝大多数浏览器中都不会存在问题,但是在安卓手机的微信自带浏览器中,会出现一个奇怪的bug. window.loc ...

随机推荐

  1. H3C配置历史命令缓冲大小--接口视图(console为准)

    [wang]user-interface console 0 [wang-ui-console0]history-command max-size 30    //配置缓冲区大小 [wang-ui-c ...

  2. Qt4与Qt3的主要不同

    Qt4与Qt3的主要不同 1)QT4 中提供了大量新控件,虽然它也保持了旧的控件,并命名为Qt3XXX,但是这样的控件没准在今后的哪个QT版本中就不被支持了,所以还是换吧,控件替换的 工作是巨大的,这 ...

  3. Python安装jpype调用java,安装jaydebeapi通过jdbc连接数据库

    pip install JPype1或下载JPype1-0.7.0.tar.gz包 经常出现需要安装VC++服务等 测试代码如下: # Author: zfh import jpype,os,time ...

  4. Jenkins安装部署与使用

    一.Jenkins平台安装部署 Jenkins官网免费获取Jenkins软件,官网地址为:http://mirrors.jenkins-ci.org/下载稳定的Jenkins版本.由于Jenkins是 ...

  5. Kubernetes Clusters

    1. 创建集群 Kubernetes集群  Kubernetes协调一个高可用的计算机集群,作为一个单独的单元来一起工作.有了这种抽象,在Kubernetes中你就可以将容器化的应用程序部署到集群中, ...

  6. 【题解】有标号的DAG计数3

    [HZOI 2015] 有标号的DAG计数 III 我们已经知道了\(f_i\)表示不一定需要联通的\(i\)节点的dag方案,考虑合并 参考[题解]P4841 城市规划(指数型母函数+多项式Ln), ...

  7. 洛谷$P$4301 $[CQOI2013]$新$Nim$游戏 线性基+博弈论

    正解:线性基 解题报告: 传送门! 这题其实就是个博弈论+线性基,,,而且博弈论还是最最基础的那个结论,然后线性基也是最最基础的那个板子$QwQ$ 首先做这题的话需要一点点儿博弈论的小技能,,,这题的 ...

  8. $[NOIp2015]$ 子串 $dp$

    \(Sol\) 不知道为啥看起来就很\(dp\)的亚子.我们关心的只有\(A\)串当前用到哪一个,\(B\)串已经匹配到哪个位置,已经匹配的被分成了多少段.所以设\(f_{i,j,k,0/1}\)表示 ...

  9. 1071 小赌怡情 (15分)C语言

    常言道"小赌怡情".这是一个很简单的小游戏:首先由计算机给出第一个整数:然后玩家下注赌第二个整数将会比第一个数大还是小:玩家下注 t 个筹码后,计算机给出第二个数.若玩家猜对了,则 ...

  10. js中的事件委派

    在介绍JS中事件委派之前先来看看一个简单的需求:为每一个超链接绑定一个单击响应函数并在控制台打印一句话,内容是:” a 标签的单击响应函数“.下面是这个需求的代码: <!DOCTYPE html ...