この記事はCTFのWebセキュリティ Advent Calendar 2021の24日目の記事です。
本まとめはWebセキュリティで共通して使えますが、セキュリティコンテスト(CTF)で使うためのまとめです。
悪用しないこと。勝手に普通のサーバで試行すると犯罪です。
- オープンリダイレクト
- リダイレクト先として任意のURLが使えてしまう問題
- 何が悪いのか?という気持ちが分からなくもないが、利用用途を見てみるとつぶすべきであると分かる
url=http://example.com/
としなくてもurl=//example.com
でもOK/
を//
にすると発生する- #297803 [crm.unikrn.com] Open Redirect
curl http://crm.unikrn.com//example.com/ -L -v
がpayload-L
はリダイレクトもしてくれる-v
はverbose
- #929633 Open Redirect on [blog.wavecell.com]
- #297803 [crm.unikrn.com] Open Redirect
- febinrev_👨💻💻🔭🔭さんはTwitterを使っています 「Some OpenRedirect bypasses: 1. Use "@" symbol : https://t.co/NR0ou3BeUy 2. Register a subdomain :? redir=https://t.co/4jkkQeZMap 3. Use ftp : ? redir=ftp://evil.com:1337/ 4. If http didn't work, try https. #bugbounty #bugbountytips #bugbountytip #infosec #cybersecurity」 / Twitter
- Use "@" symbol : http://target1.com/?redir=http://target1.com@evil.com
- Register a subdomain :? redir=https://target1.com.evil.com
- Use ftp : ? redir=ftp://evil.com:1337/
- If http didn't work, try https.
- Open-redirection leads to a bounty | by Pratik Dabhi | InfoSec Write-ups
- dest, redirect, uri, path, continue, url, window, to, out, view, dir, show, navigation, Open, url, file, val, validate, domain, callback, return, page, feed, host, port, next, data, reference, site, html
redacted.com///evil-site.com
みたいに///でリダイレクトできた- open redirectからSSRFにつながる場合もあるっぽい
- リダイレクト時に認証情報を入れてくれる?
- #437142 Instant open redirect on Live preview WEB Ide opening
- `window.open("https://evil.com","_top");`とすれば、iframeの親を書き換えられることを利用したオープンリダイレクト
- ホストを書き換えてしまうリダイレクト
'http://{HOST}' + GET['redirect']
みたいにリダイレクト先を設定している場合、GET['redirect']に@evil.example.com
を入れると、ホスト名を任意のものに書き換えることができる- 好きなサイトに誘導できる(好きにjsコードが動かせる)
- writeup/web-your-note.md at master · x-vespiary/writeup · GitHub
- ホワイトリスト検査をバイパス
- #108113 Bypassing callback_url validation on Digits
?
をうまく使ってホワイトリスト検査をバイパス
- #763058 through %09 Character the attacker is able to steal Github Token [ Account Takeover ]
- タブでバイパス
- 例えばwww.targetweb.comで検証していたらwww.targetweb.attackersite.comみたいにする
- #108113 Bypassing callback_url validation on Digits
uri=°/https://evil.com
- リダイレクトURLにtokenとかが含まれている場合にreferrerから情報を抜き出せるかも
- apacheだと後ろが勝って、1つにまとめられるらしい
- /が無くてもリダイレクトしたりする
location.href="http:example.com"
- http://をhttp:\にしても使えたりする
- 記事
- Bug Bounty Tips #6 - InfosecMatter
- ツールを使ってオープンリダイレクトを探す
- The real impact of an Open Redirect vulnerability | Detectify Blog
- 包括的な記事
- Bug Bounty Tips #6 - InfosecMatter