我的网站上有一个重定向页面,格式为https://my.site/redirect?deeplink = https://foo.bar&...

重定向是用Javascript实现的,因此当您请求时在该站点上,您会得到200和一些HTML + JS,而不是30X。

我最近开始注意到有人滥用重定向页面获取可疑链接(枪支,伟哥等)。可疑的是,页面的流量增加了很多,尤其是在晚上,那时几乎没有流量。

我开始记录包括引荐的请求。引荐来源网址似乎是各种不同的主机(每次都不相同),但大多数情况下是重定向页面本身。示例是



http://foo1.bar/cgi/mt4/mt4i.cgi?cat=12&mode=redirect&ref_eid=3231&url=http://my.site/重定向...

http://foo2.bar/modules/wordpress/wp-ktai.php?view = redir&url = http://my.site/redirect ...

http://www.foo3.bar/core.php?p = books&l = zh-TW&do = show&tag = 2774&id = 20536&backlink = http://my.site/redirect ...

http://www.google.sk/url?sa = t&rct = j&q =&esrc = s&source = web&cd = 172&ved = 0CCMQFjABOKoB&url = http://my.site/redirect ...

我' m实际上控制着用户应合法重定向到的URL,因此我实施了有效主机的白名单,并开始将无效主机重定向到我的起始页。

我想知道的是,为什么要有人以所述方式滥用我的重定向页面?还有我应该注意的任何风险吗?

评论

trustwave.com/Resources/SpiderLabs-Blog/…
为什么要通过JS进行重定向?
@SolomonUcko为什么不呢?我在页面上有一些分析以及信息文本。此外,这不是问题的重点。

#1 楼

假设人们信任您的网站,则滥用这样的重定向可以帮助避免垃圾邮件过滤器或其他对论坛/评论表单/等进行自动过滤的过滤器。通过显示链接到您网站上的页面。很少有人会单击指向https://evilphishingsite.example.com的链接,但他们可能会单击https://catphotos.example.com?redirect=https://evilphishingsite.example.com,尤其是格式设置为https://catphotos.example.com以隐藏重定向,以防止偶然检查-即使您将鼠标悬停在状态栏上时,它也会从看起来合理的字符串开始。

风险在于您的网站声誉(如果他们发现通过它访问的可疑流量,很可能会通过过滤服务而被列入黑名单)和跟踪这些链接的人(他们知道您将它们发送到的其他网站上的实际信息) 。不太可能直接损害服务器。

评论

另外,一些邮件提供者实现了链接扫描,他们在其中查看电子邮件中的链接,甚至尝试打开它们并扫描内容。他们通常会遵循30倍重定向,但不会执行JavaScript。因此,Link-Inspection软件可能会将您的域归类为可信域,并将链接的内容归类为无害-而页面上的JS实际上会将用户引导至恶意页面。

– Falco
18年8月8日14:02


有人可能会说,盲人信任浏览器对重定向的关注(默认情况下,在不询问用户的情况下进行重定向)是一种责任。

– Mindwin
18年8月9日在16:55
@curiousguy可以说,任何通过GET执行此类操作的链接都从根本上被破坏了。适当的退订应使用需要提交POST的表单定向到页面。 (当然,在现实世界中,很少有什么合适的。)

–鲍勃
18年8月10日在0:40
完全是@Bob-GET请求应该是幂等的,并且没有副作用。我知道的大多数取消订阅链接都会通过触发订阅请求的取消订阅按钮向您显示页面

– Falco
18年8月10日在10:56
@Falco就是我的收件箱中几封电子邮件的示例,https://***.list-manage.com/unsubscribe订阅服务将通过GET取消订阅

–布拉德
18年8月10日在14:40

#2 楼

如果您的网站上有一个登录页面,那么坏人可能会使用您的开放重定向来为您的用户创建一个更成功的网络钓鱼页面。

来自https://www.owasp.org/index .php / Unvalidated_Redirects_and_Forwards_Cheat_Sheet


当Web应用程序接受不可信的输入(可能导致Web应用程序将请求重定向到URL)时,可能会进行无效的重定向和转发。包含在不受信任的输入中。通过
修改输入到恶意站点的不可信URL,攻击者可能
成功启动网络钓鱼诈骗并窃取用户凭据。
因为修改后的链接中的服务器名称与
原始站点,网络钓鱼尝试可能会更值得信赖。还可以使用未经验证的重定向和正向攻击
恶意制作将通过应用程序访问控制的URL
,然后将攻击者转发给特权功能,而这些特权通常不会访问。


#3 楼

问题的关键在于,使用重定向功能会利用您公司的好名声,诱使某人单击恶意链接。

#4 楼

您的网站可能没有被列入黑名单,与其他网站不同。

假设他们使用它来发送垃圾邮件链接,则如果它来自新域,则看起来更合理。我想他们会从您的站点发送垃圾邮件足够长的时间,使其被列入黑名单,这时他们可能会丢弃您的垃圾邮件并尝试找到另一个。