过期链接劫持的利用方法探讨(附工具)

简单说来,过期链接劫持(BLH)的情况一般发生在当一个目标链接指向过期域名或网站页面的时候。过期链接劫持主要有两种形式,即反射型和存储型。而且需要注意的是,此前已经有很多网络犯罪分子利用过这种安全问题来实施攻击,但令人感到惊讶的是,我们几乎很少看到有安全人员在各大厂商的漏洞奖励计划中上报这种漏洞(过期链接)。 在这篇文章中,我们将会跟大家介绍有关过期链接的基本概念,以及如果一个目标链接指向的是一个已过期的终端节点,会导致怎样的安全问题出现。

存储型过期链接劫持

1)“角色”扮演

当一家公司删除了自己的社交媒体账号之后,相关负责人可能会忘记将公司官网上指向该社交媒体账号的链接删除掉。此时,攻击者就可以在相应的社交媒体平台上用该公司的用户名来注册一个账号,并伪装成该公司的官方账号。

2)外部JS文件劫持

如果一个目标网站使用了外部JavaScript文件,并且相应的域名或页面已过期的话,你就可以申请这个已过期的域名并得到一个存储型XSS漏洞。比如说我们用example.edu举个列子,假设这个网站使用了一个托管在example.com上的外部JavaScript文件,并且example.com域名已过期,此时的情况如下代码所示:

现在,你就可以接管example.com并控制example.edu所使用的JavaScript文件了。

3)信息泄露

劫持那些缺少rel=”noopener noreferrer”属性的过期链接将有可能导致目标网站将敏感信息泄露给攻击者所控制的页面【参考资料】。

除此之外,某些公司网站中还存在指向已过期的站点统计页面的链接。如果攻击者能够劫持这个已过期的站点统计页面,那么他们就能够监控那些访问该网站的用户流量,甚至还可以窃取到有价值的网站用户信息。实际上,此前已经有人在Gratipay的子域名页面中发现并在HackerOne上报告了类似的问题【HackerOne传送门】。

4)内容劫持

攻击者可以通过劫持已过期的域名或页面来劫持目标网站的页面内容。@MisterCh0c在自己的博客文章【传送门】中给出了非常好的演示样例,感兴趣的朋友可以好好看看。

反射型过期链接劫持

假如你真的发现了一个反射型 XSS 漏洞,但是你又对href或src属性无从下手的时候,你肯定知道那种绝望的感觉。

如果我们的目标链接是一个 CDN 服务或一个文件托管服务,你就可以构建一个恶意链接并将恶意文件托管在该服务之上。虽然这种情况大家都知道是非常少见的,但不管怎么样,希望大家在今后的“挖洞生涯”中可以注意这种特殊情况的出现。

样例场景

http://example.edu/?version=1.0.0可以返回一个托管在cdn.example上的特殊版本的JavaScript文件:

cdn.example将允许我们添加自己的项目并托管一个恶意的JavaScrip文件:

相关工具

1)broken-link-checker

broken-link-checker可以帮助我们对目标站点的URL进行爬取并寻找已过期的链接。

你可以使用下列命令运行该工具:

但是就我个人而言,我比较喜欢添加下面这些运行参数,因为这样可以最大程度地降低结果的假阳性率。

broken-link-checker下载地址

2)twitterBFTD

除了broken-link-checker之外,我们还可以选择使用misterch0c 所发布的一个小脚本,它可以帮我们寻找已过期的域名。

参考资料

[1] https://github.com/cure53/HTTPLeaks

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-10-29

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏cmazxiaoma的架构师之路

【分布式架构之旅-理论篇】数据库分库分表

1393
来自专栏申龙斌的程序人生

方便得令人发指的everything软件

大家经常会遇到电脑中找不到文件的痛苦,everything能够帮上大忙!而且还是免费的,无广告,无弹窗。该程序是一款免费的、极速的、文件名搜索定位工具。使用该程...

3075
来自专栏迁移服务平台

腾讯云文件迁移使用指南

迁移上云的时候,会有迁移上腾讯云对象存储(cos)的需求,目前的迁移方案有两种:1、cos提供的COS Migration工具;2、客户自己利用友商和cos的a...

3444
来自专栏梧雨北辰的开发录

iOS提交审核失败:通知“has changed to Invalid Binary.”错误

2016-11-09 今天在App提交审核的时候遇到了一个问题,打包上传到itunes Connect的过程都没有问题,但是之后在itunes Connect的...

3467
来自专栏无原型不设计

聊聊原型设计中的团队管理功能

在Mockplus3.3版本中,新增了团队管理功能,可以对团队成员、团队项目进行分组管理、权限设定。在团队成员管理上,可以编辑企业信息、邀请/删除团队成员、设置...

1K6
来自专栏zhangdd.com

生产内网ssh登陆变慢问题原因及解决办法

最近发现内网一些服务器ssh连接变慢,原来都是秒开的现在基本上要等10几秒才能返回登陆界面,因为是在内网基本上排除网络连接问题

991
来自专栏游戏杂谈

多文件压缩工具-RIA版

做游戏开发,在进入游戏前需要先加载很多资源文件,以XML格式居多。一般我们的做法是将多个XML/txt文件打包压缩,之前使用的方法是先将资源文件使用winrar...

1051
来自专栏无原型不设计

聊聊原型设计中的团队管理功能

在Mockplus3.3版本中,新增了团队管理功能,可以对团队成员、团队项目进行分组管理、权限设定。在团队成员管理上,可以编辑企业信息、邀请/删除团队成员、设置...

3587
来自专栏云计算

云自动化:WinRM和SSH

[最初由Barak Merimovich撰写的文章]

2749
来自专栏智能计算时代

云计算架构:Azure]比较流,逻辑应用(Logic App),函数和 WebJobs

所有这些服务都可以解决集成问题并自动化业务流程。 它们都可以定义输入、操作、条件和输出。 可以在日程安排或触发器中运行其中一个。 但是,每种服务都有其独特的优点...

2103

扫码关注云+社区