Двенадцать, открытые перенаправления (редиректы)

Автор: Peter Yaworski Переводчик: Летающий дракон

Протокол: CC BY-NC-SA 4.0

Описание

Согласно OWASP, открытое перенаправление возникает, когда приложение принимает параметры и перенаправляет пользователя на значение этого параметра без какой-либо проверки.

Эта уязвимость используется для фишинговых атак, позволяя пользователям непреднамеренно просматривать вредоносные сайты, злоупотребляя доверием к заданному сайту и направляя пользователей на другой сайт. Вредоносный сайт может быть замаскирован под законный сайт и пытаться собирать личную или конфиденциальную информацию.

Ссылка

Смотрите OWASP Unvalidated Redirects and Forwards Cheat Sheet

Пример

1. Открытое перенаправление при установке темы Shopify

Сложность: низкая

URL: app.shopify.com/services/google/themes/preview/supply–blue?domain_name=XX

Ссылка: https://hackerone.com/reports/1019622

Дата отчета: 25 ноября 2015 года

Награда: $500

Описание:

Платформа Shopify позволяет администраторам магазинов настраивать внешний вид магазина. Для этого администратору необходимо установить тему. Здесь уязвимостью является то, что страница установки темы интерпретирует параметр перенаправления и возвращает пользователю 301 редирект, не проверяя цель перенаправления.

Таким образом, если пользователь посещает https://app.shopify.com/services/google/themes/preview/supply– blue?domain_name=example.com, он будет перенаправлен на http://example.com/admin.

Злоумышленник может использовать этот домен для размещения сайта и попытаться провести фишинговую атаку на ничего не подозревающих пользователей.

Важный вывод

Я повторю еще раз, не все уязвимости сложны. В данном случае открытое перенаправление требует только изменения цели перенаправления на внешний сайт.

2. Открытое перенаправление при входе в Shopify

Сложность: средняя

URL: http://mystore.myshopify.com/account/login

Ссылка на отчет: https://hackerone.com/reports/103772

Дата отчета: 6 декабря 2015 г.

Награда: $500

Описание:

Это открытое перенаправление очень похоже на предыдущую уязвимость с установкой темы, но здесь оно происходит после входа пользователя и использования параметра ?checkout_url. Например:

http://mystore.myshopify.com/account/login?checkout_url=.np

Поэтому, когда пользователь посещает ссылку и входит в систему, он будет перенаправлен на:

https://mystore.myshopify.com.np/

Фактически это не домен Shopify.

3. Промежуточное перенаправление HackerOne

Сложность: средняя

URL: нет

Ссылка на отчет: https://hackerone.com/reports/111968

Дата отчета: 20 января 2016 г.

Награда: $500

Описание:

Здесь промежуточное перенаправление относится к некоторым перенаправлениям, которые происходят без паузы во время перенаправления, чтобы сообщить вам, что вы перенаправляетесь.

HackerOne фактически предоставляет описание этой уязвимости на естественном языке в отчете:

hackerone.com соединение считается доверенным соединением, включая те, которые предшествуют /zendesk_session. Любой может создать настраиваемую учетную запись Zendesk, которая будет перенаправлять на ненадежный сайт, предоставляя эту функцию через /redirect_to_account?state=param;. И поскольку Zendesk допускает межсайтовое перенаправление между учетными записями, вы будете перенаправлены на любой ненадежный сайт без какого-либо предупреждения.

После понимания исходной проблемы с Zendesk мы решили рассматривать ссылки, содержащие zendesk_session, как внешние ссылки, и при нажатии на них будет отображаться внешний значок и предупреждающая страница с промежутком.

Итак, здесь Махмуд Джамал (да, тот же человек, что и в Google XSS уязвимости) создал company.zendesk.com и добавил следующее в заголовок редактора тем Zendesk:

<script>document.location.href = "http://evil.com";</script>

Затем он передал эту ссылку:

https://hackerone.com/zendesk_session?locale_id=1&return_to=https://support.hackerone.com/ping/redirect_to_account?state=company:/

Он используется для перенаправления на сгенерированный сеанс Zendesk.

Теперь интересно, что Махмуд сообщил об этой проблеме с перенаправлением в Zendesk, и Zendesk сказал, что они не видели никаких проблем. Поэтому, естественно, они продолжили копать эту уязвимость, чтобы увидеть, как ее можно использовать.

Важный вывод

Мы обсуждали это в главе о логике приложения, но она повторяется здесь. При поиске уязвимостей обратите внимание на сервисы, используемые сайтом, потому что каждый из них представляет собой новый вектор атаки в вашем процессе поиска. Здесь эта уязвимость может быть использована путем объединения методов использования HackerOne с Zendesk и разрешенными перенаправлениями.

Кроме того, иногда люди, отвечающие на ваши отчеты и читающие их, могут не сразу понять последствия для безопасности. Вот почему я написал эту главу в отчетах об уязвимостях. Если вы сделаете шаг вперед и объясните последствия для безопасности в своем отчете, это обеспечит успешное решение.

Однако даже в этом случае компания иногда не понимает вас. Если это так, действуйте, как Махмуд, продолжайте копать и посмотрите, сможете ли вы доказать, что это можно использовать, или объедините его с другими уязвимостями, чтобы продемонстрировать воздействие.

Резюме

Открытое перенаправление позволяет злоумышленникам перенаправлять людей на неизвестные вредоносные веб-сайты. Как показывают эти примеры, их поиск требует острого наблюдения. Иногда появляются легко обнаруживаемые redirect_to=, domain_name=, checkout_url=, и другие. Этот тип уязвимости зависит от злоупотребления доверием, при котором жертва вводится в заблуждение, полагая, что она просматривает одобренный сайт.

Обычно, когда URL передается в качестве параметра в веб-запросе, вы можете обнаружить их. Обратите внимание и поиграйте с URL-адресами, чтобы посмотреть, принимают ли они ссылки на внешние сайты.

Кроме того, промежуточное перенаправление HackerOne демонстрирует важность обоих. При поиске уязвимости обратите внимание на инструменты и услуги, используемые сайтом, а также иногда вам нужно настаивать и четко демонстрировать уязвимость перед тем, как она будет признана и принята.