url重定向漏洞

[netxfly]

测试代码：

package main

import (
	"gopkg.in/macaron.v1"
)

func main() {
	m := macaron.Classic()
	m.Use(macaron.Renderer())

	m.Get("/", LoginIndex)
	m.Run()
}

func LoginIndex(ctx *macaron.Context) {
	ctx.Write([]byte("fdasfas"))

}

构造以下的请求会跳转到指向的URL，可以用来做钓鱼攻击（FireFox和Safari上有效，chrome没成功）。
curl -v http://127.0.0.1:4000//www.baidu.com/%2e%2e

[unknwon]

感谢反馈！

期待的表现和实际表现具体为？

[netxfly]

期待的表现为：这种请求的话直接404；
实现的表现会跳转到后面构造的URL中，别人以为访问的是前面的网站，其实却已跳转到后面的钓鱼网站中了。

[unknwon]

Macaron 底层用的是标准库的 http.Redirect，我觉得这不应该是框架应该处理的事情，程序在接受重定向参数的时候应当自行过滤。

[netxfly]

现在是这样的，还没到用户自定义的路由里面，提交上面的请求后，框架层面就帮重定向了，用户还没机会去过滤URL重定向。

比如我的测试代码如下，只有一个/路由到LoginIndexj里面，这个是我能控制的。

package main

import (
	"gopkg.in/macaron.v1"
)

func main() {
	m := macaron.Classic()
	m.Use(macaron.Renderer())

	m.Get("/", LoginIndex)
	m.Run()
}

func LoginIndex(ctx *macaron.Context) {
	ctx.Write([]byte("fdasfas"))

}

当我提交以下请求时，应该是404，但结果是把我带到百度了，如果百度是恶意网站的话，然后诱骗用户去点击，用户看到前面的是可信任的域名，后面却是恶意网站的16进制编码，肉眼识别不出来，认为是正常的网站，就被转过去钓鱼了。

$ curl -v http://127.0.0.1:4000//%77%77%77%2E%62%61%69%64%75%2E%63%6F%6D/%2e%2e 
*   Trying 127.0.0.1...
* Connected to 127.0.0.1 (127.0.0.1) port 4000 (#0)
> GET //%77%77%77%2E%62%61%69%64%75%2E%63%6F%6D/%2e%2e HTTP/1.1
> Host: 127.0.0.1:4000
> User-Agent: curl/7.50.1
> Accept: */*
> 
< HTTP/1.1 302 Found
< Location: //www.baidu.com/../
< Date: Mon, 06 Mar 2017 09:07:32 GMT
< Content-Length: 42
< Content-Type: text/html; charset=utf-8
< 
<a href="//www.baidu.com/../">Found</a>.

* Connection #0 to host 127.0.0.1 left intact

[unknwon]

我用 Chrome 访问就不会自动重定向，这可能是不同工具的表现不同。

[netxfly]

前文有写只对firefox和Safari测试有效，抓一下chrome的包，发现提交以下请求时http://127.0.0.1:4000//%77%77%77%2E%62%61%69%64%75%2E%63%6F%6D/%2e%2e，
google发现如果有%2e字符的话，就会把前面URL过滤掉，只给把//提交过去GET // HTTP/1.1 ，本质原因是chrome比其他几款浏览器安全，加了本地过滤机制。

[unknwon]

嗯。。但是生成这样的链接本来就是有问题的吧

[netxfly]

是的，正常人不会这样提交，但是攻击者会这样构造URL去钓鱼。

[unknwon]

我不太懂，有可造成实际伤害的实例吗？

[netxfly]

比如百度员工使用macaron做了一个网站，攻击者发现了这个问题URL跳转的后去贴吧等可以发帖的地方发个这种URL，只要用户一点就被跳转到后面的URL中，然后这个URL可以做个假页面钓用户的密码（提示要登录，然后把密码提交给攻击者），或者本身就是挂马网站（用了浏览器的0day漏洞），用户一进去就被植入木马了。
当然URL跳转是低危漏洞，取决于后面怎么利用。我就是用了macron做了一个网站，然后被白帽子提了漏洞，我才过来提的issue，：）

[unknwon]

好吧。。我觉得网站在输出这样的 URL 到页面的时候应该应用自己过滤一下吧。。我觉得框架无法预知不同用户所期望的 “合法” URL

[unknwon]

另外我用 Safari 10.0.3 和 FireFox 51.0.1 访问 https://try.gogs.io//%77%77%77%2E%62%61%69%64%75%2E%63%6F%6D 都不会自动重定向

[netxfly]

https的没事，这种类型的漏洞在nodejs中也发现过，被CVE收录过：http://cve.scap.org.cn/CVE-2015-1164.html

[unknwon]

为什么我觉得这是浏览器的自动行为啊。。。请求根本达不到框架，如果达到框架，你的代码也没有写重定向，怎么可能会是代码重定向呢？必然是浏览器有问题啊。。。