url跳转漏洞遍布各大网站,简单看一下,THE9、sohu等居然都存在这个漏洞!我们就拿sohu为例,讲一下该漏洞。来到sohu的用户注册页面,可以看到,在IE地址栏里,默认写着http://passport.sohu.com/web/signup.jsp?appid=1000& ru=http://login.mail.sohu.com/reg/signup_success.jsp。
这串字符中的“signup_success.jsp”页面是做什么的呢?反正sohu免费注册,我们来试一下。原来注册成功后,跳转到了这个页面。如果这个地址是其他地方的呢?现在改掉地址栏地址,替换为IT168安全频道的首页:http: //passport.sohu.com/web/signup.jsp?appid=1000&ru=http://safe.it168.com/,然后开始注册。
最后居然跳到了IT168安全频道的首页了。
sohu原本的注册流程是这样的:注册--处理注册信息--注册成功--跳转到成功页面--点页面链接自动登录--登录后跳转到mail.sohu.com。
而跳转后的页面我们可以控制,所以流程可以被我们改为:注册--处理注册信息--注册成功--跳转到伪造的登录页面--用户输入密码点登录--提交密码给我们--最后跳转到mail.sohu.com。
下面按照修改后的流程注册。
首先准备好工具,一个伪造的sohu登录页面(欺骗用),一个ASP页面(接收发来的密码并保存)。打开mail.sohu.com,照原样复制一份HTML源代码,为了让用户更容易受骗,还要在登录口写上“请登录”字样(过程见下文)。
因为sohu在登录的地方使用了自己的控件,看不到登录框的代码,操作登录的元素就比较麻烦了,还好微软提供了Ietoolbar这个IE的插件,可以看到sohu登录控件的名称,等登录控件加载完成,就可以对他进行操作了。
从抓包的数据中可以看出这个控件使用了AJAX,不知道他在页面触发AJAX的函数是什么,可能是onclick()也可能是别的,在写代码的时候必须保证让sohu的登录代码在我们提交密码到自己的asp页面(用来保存密码的页面)之后执行。无论他的函数是什么,我们都可以拦截,使用JS函数劫持技术,其实就是面向对象语言中的“方法重写”技术。
a.html代码(伪造的登录页面):
........................
这串字符中的“signup_success.jsp”页面是做什么的呢?反正sohu免费注册,我们来试一下。原来注册成功后,跳转到了这个页面。如果这个地址是其他地方的呢?现在改掉地址栏地址,替换为IT168安全频道的首页:http: //passport.sohu.com/web/signup.jsp?appid=1000&ru=http://safe.it168.com/,然后开始注册。
最后居然跳到了IT168安全频道的首页了。
sohu原本的注册流程是这样的:注册--处理注册信息--注册成功--跳转到成功页面--点页面链接自动登录--登录后跳转到mail.sohu.com。
而跳转后的页面我们可以控制,所以流程可以被我们改为:注册--处理注册信息--注册成功--跳转到伪造的登录页面--用户输入密码点登录--提交密码给我们--最后跳转到mail.sohu.com。
下面按照修改后的流程注册。
首先准备好工具,一个伪造的sohu登录页面(欺骗用),一个ASP页面(接收发来的密码并保存)。打开mail.sohu.com,照原样复制一份HTML源代码,为了让用户更容易受骗,还要在登录口写上“请登录”字样(过程见下文)。
因为sohu在登录的地方使用了自己的控件,看不到登录框的代码,操作登录的元素就比较麻烦了,还好微软提供了Ietoolbar这个IE的插件,可以看到sohu登录控件的名称,等登录控件加载完成,就可以对他进行操作了。
从抓包的数据中可以看出这个控件使用了AJAX,不知道他在页面触发AJAX的函数是什么,可能是onclick()也可能是别的,在写代码的时候必须保证让sohu的登录代码在我们提交密码到自己的asp页面(用来保存密码的页面)之后执行。无论他的函数是什么,我们都可以拦截,使用JS函数劫持技术,其实就是面向对象语言中的“方法重写”技术。
a.html代码(伪造的登录页面):
........................