课程笔记:URL 跳转漏洞原理与防护
课程名称:计算机网络应用 章节编号:5.4 核心摘要:本讲围绕 URL 跳转漏洞(Open Redirect)展开,剖析其本质——利用 Web 应用重定向功能进行钓鱼攻击。重点讲解漏洞的产生原理、高频使用场景(登录、分享、OAuth 等)、常见跳转参数名、十余种绕过姿势,以及"白名单 + 索引映射 + 风险提示"的多重防护方案。
一、 核心概念与原理
1.1 定义
- URL 跳转漏洞:又称 URL 重定向漏洞(Open Redirect),是基于其使用场景的命名。
- 本质:利用 Web 应用程序中的 重定向功能,将用户从可信站点诱导至恶意站点。
- 核心原则:
- 没有重定向功能 → 通常不会发生 URL 跳转漏洞。
- 有重定向的地方 → 就存在 URL 跳转漏洞风险。
- 典型用途:钓鱼攻击,借助正常域名(如
www.A.com)让用户访问邪恶域名(www.evil.com)。
1.2 漏洞成因模型
正常业务流程:
用户访问业务页 → 未登录 → 跳转登录页 → 登录完成 → 返回原业务页
↑
漏洞高发环节(return url 参数)
- 漏洞核心不在"跳转到登录",而在 "登录后跳回哪里" 这一步。
- 后台若对
return url参数值 不做校验 / 校验不严,链接可跳转到任意网站。
1.3 危害
| 受害方 | 危害表现 |
|---|---|
| 用户 | 被诱导至钓鱼网站,导致账号、数据、资金被盗 |
| 企业 | 跳转前缀是本公司域名,引发用户误解,损害品牌信誉 |
二、 技术细节与协议分析
2.1 经典利用案例
最简利用方式——诱导用户访问构造链接:
https://www.A.com?returnurl=https://www.evil.com
└─正常可信域名─┘ └──── 钓鱼站点 ────┘
- 用户心理:普通用户只识别前段权威域名(如
aliyun.com),后段参数无法辨识。 - 传播载体:短信、邮件、聊天消息中夹带此类链接。
- 后台行为:
request.getParameter("returnurl")取值后直接重定向,无任何校验。
2.2 登录场景抓包示例
正常请求:
GET /index/login?returnurl=https://www.A.com/detail?sku=123456
被篡改为恶意跳转:
GET /index/login?returnurl=https://www.baidu.com
- 后台响应 302 / 301 重定向,跳转至攻击者指定地址。
- 根因:URL 参数未做检查 → 理论上可跳转至任意页面。
2.3 高频漏洞场景
| 场景 | 跳转流程 | 风险点 |
|---|---|---|
| 登录功能(重灾区) | 业务页 → 登录页 → 回业务页 | returnurl 参数可控 |
| 短信验证码认证 | 验证后页面跳转 | 跳转目标参数 |
| 分享(如知乎→微信) | 站内 → 第三方 → 返回站内 | 回跳参数 |
| 收藏 | 收藏操作后跳转 | 跳转参数 |
| 第三方授权(OAuth) | 拉勾教育 → 微信扫码 → 回拉勾 | 回调 URL(callback) |
| 站内链接点击 | 页面间跳转 | 跳转目标参数 |
| 业务完成跳转(如改密) | 操作完成 → 跳转提示页 | 跳转参数 |
| 评价系统 | 评价后跳转 | 跳转参数 |
共同特征:从一个页面跳到另一界面,为保证用户体验再回到原界面 → "跳回来"环节是漏洞高发区。
2.4 常见跳转参数名
| 参数名 | 含义 |
|---|---|
returnurl / return_url | 登录后返回地址 |
fromurl / furl | 来源地址(可作为"返回上一步"超链接) |
target / target_to / to | 跳转目标 |
redirect / redirect_to / redirect_url | 重定向地址 |
url | 通用跳转地址 |
jump / jump_to | 跳转地址 |
goto | 跳转去向 |
link / link_to | 链接地址 |
示例:
https://www.zhihu.com?target=https://www.lagou.com表面访问知乎,实际跳转拉勾。
2.5 漏洞产生原因
- 未考虑风险:编码时根本不知此类漏洞,不做任何防护。
- 防护不严:仅用子串、后缀等简单逻辑判断,可被绕过。
- 奇葩操作:对参数做域名拼接、重组等操作,留下绕过空间。
- 语言解析缺陷:如 Java JDK 在
getHost()时存在解析漏洞,可被构造 URL 绕过。 - 环境差异:语言、服务器、浏览器对 URL 处理的差异,形成绕过路径。
- 已知常用绕过方式达 十余种。
2.6 典型绕过姿势
假设后台校验规则为"URL 中包含 www.ABC.com 则放行":
| 绕过方式 | 构造 URL | 原理 |
|---|---|---|
| 子串包含 | www.ABC.com.evil.com | 注册含 ABC.com 子串的新域名,通过包含校验 |
| 路径伪装 | www.evil.com/www.ABC.com | 把 www.ABC.com 当作 evil 的子路径 |
| 完整校验(无法绕过) | www.xx.ABC.com | 后台做完整域名校验时通过,非绕过 |
加问号 ? | www.evil.com?www.A.com | 问号后内容被视为查询串,不影响目标 |
反斜杠 \ | www.evil.com\www.A.com | getHost() 取得 www.evil.com,后段忽略 |
艾特符 @ | 正常串@www.evil.com | @ 前被视为用户信息,实际访问 evil |
井号 # | www.evil.com#www.A.com | # 后为片段标识符,不影响目标 |
| 缺少协议 | //www.evil.com | 不写协议头绕过协议校验 |
| 信任链利用(多级跳转) | A → C → evil | A 信任 C,C 存在跳转漏洞,最终仍跳到 evil |
信任链利用示意:
www.A.com?returnurl=www.C.com&to=www.evil.com—— A 跳到 C,C 再跳到 evil,利用被信任的中间站点完成攻击。
三、 实践应用与配置命令
3.1 错误实现示例(反面教材)
// 危险:直接取参数重定向,无任何校验
String returnurl = request.getParameter("returnurl");
response.sendRedirect(returnurl); // 大坑:来者不拒
// 危险:子串包含校验,可被绕过
String returnurl = request.getParameter("returnurl");
if (returnurl.contains("www.ABC.com")) {
response.sendRedirect(returnurl); // www.ABC.com.evil.com 可绕过
}
3.2 推荐防护方案(三种方式配合使用)
方案 1:硬编码跳转路径(写死)
// 直接在后端写死跳转目标,不接受前端传参
response.sendRedirect("https://www.login.com");
- 优点:绝对安全。
- 缺点:扩展性差,系统扩展需频繁修改源代码。
方案 2:白名单 + 索引映射机制(推荐)
// 前端不传 URL,只传索引号;后端按白名单映射
Map<String, String> whitelist = new HashMap<>();
whitelist.put("1", "https://www.login.com");
whitelist.put("2", "https://job.login.com");
String idx = request.getParameter("redirect_idx");
String target = whitelist.get(idx);
if (target == null) {
// 非白名单请求 → 记录日志,移交安全部门
logger.warn("非法跳转索引: {}", idx);
securityService.report(idx);
target = "/default"; // 兜底跳转
}
response.sendRedirect(target);
方案 3:充分校验 + 站外风险提示
// 对跳转目标做严格域名校验
String returnurl = request.getParameter("returnurl");
String host = URI(returnurl).getHost(); // 注意 JDK 解析缺陷,需多重校验
if (!isTrustedDomain(host)) {
// 非己方地址 → 二次确认页面,告知用户跳转风险
request.setAttribute("warnUrl", returnurl);
request.getRequestDispatcher("/redirect_warn.jsp").forward(request, response);
return;
}
response.sendRedirect(returnurl);
3.3 辅助防护措施
| 措施 | 作用 |
|---|---|
| 限制 Referer | 校验请求来源,防止外部构造链接传播 |
| 添加动态 Token | 防止恶意用户构造可传播的固定链接 |
| 加入验证码 | 增加自动化构造链接的成本 |
站外跳转风险提示参考:CSDN、知乎等主流论坛在站外跳转时均会弹出"即将访问外部链接,是否继续"的确认页。
四、 重点与难点提示
4.1 必考要点
- URL 跳转漏洞的本质:利用 Web 应用重定向功能,本质为信任利用 + 钓鱼。
- 重灾区场景:登录功能(最频繁出现漏洞的模块)。
- 漏洞核心位置:不在"跳转到登录",而在"登录后跳回哪里"的
returnurl参数。 - HTTP 状态码:跳转通过 301 / 302 重定向实现。
4.2 易错点
- ⚠️ 子串校验 ≠ 安全校验:
contains("ABC.com")可被www.ABC.com.evil.com绕过。 - ⚠️
getHost()存在解析缺陷:反斜杠、@、#等特殊符号可使 host 解析结果与实际访问目标不一致。 - ⚠️ 信任链跳转:A 信任 C 不代表 C 安全,多级跳转可绕过单点校验。
- ⚠️ 防护方案须配合使用:硬编码、白名单、风险提示三者配合,单独任一种均有局限。
4.3 面试题预测
- 简述 URL 跳转漏洞的原理与危害。
- 列举至少 5 种常见的跳转参数名。
- 列举至少 3 种绕过白名单校验的方式。
- 为什么"子串包含"校验不安全?举例说明。
- 设计一套完整的 URL 跳转漏洞防护方案。
- 简述 OAuth 回调场景下的 URL 跳转风险。
五、 课后疑问/遗留问题
- Java JDK
getHost()解析缺陷的具体 CVE 编号与修复版本是什么?需课后查阅官方文档。 - SSRF(服务端请求伪造) 与 URL 跳转漏洞的区别与联系?后续课程是否讲解?
- OAuth 回调 URL 校验的标准做法(如
state参数、redirect_uri严格匹配)如何实现? - 各大浏览器(Chrome / Firefox / Edge)对
@、\、#在 URL 中的解析差异具体如何?需实测验证。 - 现代框架(Spring Security、Express、Django)是否内置 Open Redirect 防护?如何启用?