【渗透测试】滥用网址缩短器
网址缩短器允许用户将200个字符的URL转换成实质上更少的内容。它非常适合那些文本空间有限但需要使用链接的情况,例如短信或推文。虽然方便,但错误的实施可能会使业务暴露。在这篇文章中,研究人员分享了其滥用URL缩短器的经验,并涵盖2种不同实现的3种不同攻击场景。
#1 - 访问内部统计数据
研究人员偶然发现目标程序使用了一个网址缩短器,它似乎是定制的,而不是使用第三方服务。这似乎在整个企业内部使用,因为大多数收集的URL会重定向到登录页面。但是,通过访问一个无效的URL,应用程序将进入损坏的404页面。检查源代码发现其暴露了多个端点,这些端点允许经过身份验证的用户,添加/编辑/删除 URL以及查看统计信息。除三个统计端点外,所有端点都需要身份验证。它们包括点击次数、浏览器和每个链接使用的平台的统计数据。下面是一个有效载荷示例:
var xhr = new XMLHttpRequest();
var result = '';
var url = "/stats/clicks";
xhr.open("POST", url, true);
xhr.setRequestHeader("Content-Type", "application/json");
xhr.onreadystatechange = function () {
if (xhr.readyState === 4 && xhr.status === 200) {
result = xhr.responseText;
console.log(result);
}
};
var data = JSON.stringify({"url": "a", "range": "all"});
xhr.send(data);
响应如下:
{
"labels": [
"July 2017",
"January 2018",
"July 2018"
],
"datasets": [
{
"data": [
517,
274,
72
]
}
],
"totalClicks": 863
}
虽然获得的信息并不敏感,但它突出了一个需要解决的错误配置。这个漏洞价值 500美元。
#2 - 访问敏感文档
在发现第一个漏洞后不久,研究人员发现这个网址缩短器允许其用户创建自定义 URL。经过一小段时间暴力破解这些URL,例如http://short.url/r/private、http://short.url/r/test、http://short.url/r/secret 等,研究人员发现了多个标记为敏感的文档。这些文件的范围从客户合同到内部轮班表、网络图等等。这个漏洞价值 2000美元。
#3 - 网址抓取
滥用网址缩短器的另一个例子是来自一条短信。 短信上面写着[用户名],在任何 Hulk 老虎机上押注10英镑即可立即获得10次免费旋转-http://cora1.co.uk/xyzabc 。点击此链接会被重定向到一个促销页面,该页面的URL的参数中包含用户名和手机号码。
https://cora1.co.uk网址使用了Bitly提供的URL缩短服务,因此通过修改URL并附加加号,就能够看到链接的统计页面,例如https://cora1.co.uk/xyzabc+。
这本身并不是什么大问题,问题是能够看到发布URL的用户。如果我们转到用户个人资料,例如https://bitly.com/u/user_xxx,它将显示总共创建了169k链接。如果我要查看页面的来源并搜索参数MOBILE_NUMBER=,将获取到Coral成员的英国手机号码。随后可以创建一个简单的网站抓取工具来利用该漏洞,遍历员工个人资料的每一页,以抓取客户的手机号码。
最后的想法
如果你偶然发现渗透目标使用的URL 缩短器。请务必尝试以下 3 种攻击场景:
- 暴力破解 - URL是否可预测?对URL使用字典攻击来捕获重定向位置以供进一步查看。
- 抓取 - 重定向是否包含个人信息?URL是否可预测?收集数据。
- 身份验证 - 这是一个定制的应用程序吗?检查源代码中所有暴露的端点是否正确验证会话。
