javascript - JavaScript 的客户端 DOM 打开重定向

Question

我在扫描以下代码时遇到客户端 DOM 打开重定向安全问题。该问题出现在我初始化变量“myPath”和“myHost”的位置。

我无法理解它如何容易受到网络钓鱼攻击以及如何修复它。有人可以帮忙吗？

var query = this.value;

var myPath = window.location.href.substring(window.location.href.indexOf("/myapp"), window.location.href.indexOf(".html"));
var myHost = window.location.href.substring(0, window.location.href.indexOf("/myapp"));
query = encodeURIComponent(query);

if(myPath!==null){
    query = query + "mysite:" + myHost + myPath;
}

Answer 1

问题是您正在获取用户输入(来自网址栏的值)并重定向到它。这可能会也可能不会在任何有意义的攻击中被利用，但静态扫描器无法理解您的应用程序逻辑 - 对于静态扫描器来说，它只是直接用于重定向的用户输入。

根据问题中的信息，我想不出有效的攻击，因为我认为它只是生成用户已经访问过的相同网址，最后没有 .html，也没有 # 部分 if有的。所以我认为用户将被重定向到他已经访问过的页面。然而，这并不意味着没有漏洞，它还取决于其他相关代码。例如，当用户可以使用此代码访问网址栏中没有任何 .html 的页面时，会发生什么情况会影响结果，另一个允许(部分)控制网址栏的漏洞也会影响结果，这可能是 SPA 之类的情况。因此，问题中没有足够的信息来确定它是否真正安全。

至于修复，请确保仅重定向到您想要的位置，而不是任何用户输入。例如，主机部分(甚至可能是路径)可以由服务器写入页面中，但我知道对于 SPA 之类的东西来说情况并非如此。您可以实现白名单验证以确保不会发生恶意重定向。也许它已经很好了，在这种情况下，您可以在您使用的扫描仪中设置此发现以减轻影响，但请考虑边缘情况，以及攻击者如何滥用这一点。他能用路径中的#来欺骗这个吗？他可以从没有 .html 的 URL 加载包含此代码的页面吗？或者已经有过多次了？如果他注册了像 someattack.html.hisdomain.com 这样的域并且有有效用户访问它怎么办？ :)

网址栏是一件棘手的事情，因为它是用户输入，但攻击者没有完全控制权 - 他必须点击应用程序页面，否则不会加载此 javascript。静态扫描器标记此问题的原因仍然是因为攻击者可能拥有一些控制权，并且在大量使用 javascript 的单页应用程序中，由于所有 url 栏操作的进行，可能会控制更多一些.