文章目录[TOC](文章目录)一、是什么HTTP 重定向的基本原理HTTP 重定向攻击的主要方式二、步骤1.Low2.Medium绕过方法详解协议相对 URLProtocol-Relative URL大小写混淆使用其他危险协议利用 URL 编码与畸形构造空字节截断PHP 5.3.4实际攻击演示漏洞根本原因3.HighDVWA High 级别的正确绕过姿势4.Impossible总结HTTP 开放重定向漏洞防御总结安全实现要点常见错误模式危险一、是什么HTTP 重定向Redirect是 Web 应用中常见的导航机制通过 Location 响应头或 meta 标签将用户从当前 URL 引导至另一个 URL。若开发者在实现重定向目标时未对用户输入进行严格校验则可能引发开放重定向漏洞甚至进一步导致账户劫持、钓鱼、OAuth 授权码窃取等高危后果HTTP 重定向的基本原理HTTP 重定向是服务器通知客户端如浏览器所请求资源已被移动至另一位置的机制通常通过返回 3xx 系列状态码实现。常见的重定向状态码包括301 Moved Permanently永久重定向表示所请求资源已被永久转移至新 URL。302 Found临时重定向表示所请求资源暂时位于另一 URL。303 See Other建议客户端使用 GET 方法获取资源。307 Temporary Redirect临时重定向且保持原请求方法不变。308 Permanent Redirect永久重定向且保持原请求方法不变。HTTP 重定向攻击的主要方式此类攻击利用了合法的重定向机制通过不同方式将用户引向恶意目标。常见方式包括开放重定向Open Redirect攻击者通过操控网站 URL 中的重定向参数来控制跳转目标。例如合法参数redirecthttp://example.com被篡改为redirecthttp://malicious.com导致用户被重定向至恶意网站。钓鱼攻击Phishing利用重定向将用户引导至伪装成合法网站的恶意页面诱骗用户输入登录凭证、银行账号等敏感信息。恶意软件传播Malware Distribution通过重定向将用户引导至托管恶意软件的站点诱使其下载并安装恶意程序。二、步骤1.Low代码如下?phpif(array_key_exists(redirect,$_GET)$_GET[redirect]!){header(location: .$_GET[redirect]);exit;}http_response_code(500);?pMissing redirect target./p?phpexit;?用户输入直接拼接到响应头代码未对 $_GET[‘redirect’] 做任何验证或过滤直接将其拼接到 Location 头部。缺少白名单或格式校验攻击者可以指定任意 URL包括外部恶意域名、javascript: 伪协议、甚至带有 CRLF 的字符串作为跳转目标。无条件信任客户端数据这是导致开放重定向的根本原因。修改重定向至百度成功跳转2.Medium后端代码如下?php// 通过黑名单过滤掉以 http:// 或 https:// 开头的绝对 URL从而将重定向限制在“相对路径”或“其他协议”范围内。//但由于正则逻辑不严谨、未考虑多种 URL 表示变体以及 Location 头的解析特性此限制可被轻易绕过。if(array_key_exists(redirect,$_GET)$_GET[redirect]!){if(preg_match(/http:\/\/|https:\/\//i,$_GET[redirect])){http_response_code(500);?pAbsolute URLs not allowed./p?phpexit;}else{header(location: .$_GET[redirect]);exit;}}http_response_code(500);?pMissing redirect target./p?phpexit;?绕过方法详解协议相对 URLProtocol-Relative URL使用//开头的 URL浏览器会自动继承当前页面的协议HTTP 或 HTTPS。此形式不包含http://或https://可绕过正则检测。Payload:?redirect//evil.com/phish当用户访问https://trusted-site.com/redirect.php?redirect//evil.com时将被重定向至https://evil.com实现钓鱼攻击。大小写混淆正则表达式虽使用了i修饰符不区分大小写但部分解析器在处理 URL 协议时可能对全大写、混合大小写有不同解释尽管本例正则已防护此思路在其他场景仍有效。然而更关键的绕过在下一条。使用其他危险协议Location头不仅支持 HTTP/HTTPS还支持javascript:、data:、vbscript:等伪协议。在老旧浏览器中javascript:可触发 XSS。Payload:?redirectjavascript:alert(document.domain)虽然现代主流浏览器Chrome、Firefox已限制Location头跳转至javascript:但部分环境如某些移动端 WebView、旧版 IE仍可能执行。该代码未对协议类型做任何限制属于严重疏忽。利用 URL 编码与畸形构造换行符注入CRLF若$_GET[redirect]中包含%0d%0a可能提前结束Location头注入自定义 HTTP 响应头。?redirect%0d%0aSet-Cookie:%20sessionattacker代码未过滤控制字符直接拼接导致响应头拆分风险。反斜杠与符号混淆?redirect\/evil.com ?redirecthttps:evil.com某些浏览器或中间件会将这些视为有效绝对 URL。空字节截断PHP 5.3.4若 PHP 版本较老可通过%00截断字符串使正则匹配失效?redirecthttp://evil.com%00正则匹配到%00前的内容实际上preg_match将%00视为字符串一部分但在底层 C 函数中可能截断导致绕过。此方法受版本限制但说明黑名单的不可靠性。实际攻击演示场景钓鱼邮件攻击者向受害者发送链接https://your-bank.com/redirect.php?redirect//your-bank.com.attacker.net/login用户看到域名your-bank.com认为安全。点击后访问真实银行的重定向脚本。正则未匹配到http://或https://脚本执行跳转。浏览器加载https://your-bank.com.attacker.net/login攻击者伪造的银行登录页。用户输入凭证账号被盗。漏洞根本原因黑名单思维试图枚举“坏的”模式而非定义“允许的”模式。URL 表示法极其丰富RFC 3986攻击面远不止http://两种。对Location头解析行为不了解协议相对 URL、伪协议、控制字符均可改变浏览器行为。未使用安全的 URL 解析函数如parse_url()并结合组件验证。3.High?phpif(array_key_exists(redirect,$_GET)$_GET[redirect]!){if(strpos($_GET[redirect],info.php)!false){header(location: .$_GET[redirect]);exit;}else{http_response_code(500);?pYou can only redirect to the info page./p?phpexit;}}http_response_code(500);?pMissing redirect target./p?phpexit;?这段 PHP 代码试图通过检查字符串 info.php 是否存在于 redirect 参数中来限制重定向目标为特定页面。然而这种基于子串包含的黑名单逻辑极易被绕过仍然存在严重的开放重定向漏洞。使用 strpos() 判断用户输入的 redirect 参数中是否包含子串 “info.php”。若包含则直接将该参数值拼接到 Location 响应头中进行跳转。开发者试图确保用户只能被重定向到 info.php 相关的页面从而防止跳转到外部恶意站点。DVWA High 级别的正确绕过姿势基于上述分析针对 DVWA 的high.php有效的开放重定向 Payload 包括利用查询参数?redirecthttps://evil.com/?fakeinfo.php?redirecthttps://evil.com/?33info.php利用路径包含若允许子目录?redirecthttps://evil.com/info.php路径中直接包含info.php协议相对 URL 结合路径?redirect//evil.com/info.php所有方法的核心都是将info.php放置在 URL 中会被发送到服务器的部分协议、域名之后片段之前4.Impossible?php$target;if(array_key_exists(redirect,$_GET)is_numeric($_GET[redirect])){switch(intval($_GET[redirect])){case1:$targetinfo.php?id1;break;case2:$targetinfo.php?id2;break;case99:$targethttps://digi.ninja;break;}if($target!){header(location: .$target);exit;}else{?Unknown redirect target.?phpexit;}}?Missing redirect target.is_numeric($_GET[redirect])确保参数仅能为数字字符串拒绝任何包含字母、符号、路径或域名的输入switch-case 将有限的几个数字值映射到预定义的内部路径或外部 URL。攻击者无法控制$target的实际内容只能从预设选项中选择最终 header(location: . $target) 中的 $target 完全来自代码内部硬编码不包含任何用户可控部分因此不存在响应头注入或任意跳转风险总结HTTP 开放重定向漏洞防御总结安全实现要点核心原则具体做法示例代码片段1. 间接引用参数映射用户传递标识符如数字、字符串键服务端根据白名单映射到真实 URL。$targets [1 /info.php, 2 /profile]; $url $targets[$_GET[id]] ?? null;2. 严格输入类型校验使用is_numeric()、ctype_digit()或正则限定输入格式拒绝任意字符串。if (!is_numeric($_GET[redirect])) die();3. 相对路径强制仅允许以/开头且不包含//、..的相对路径禁止外部协议。if (preg_match(/^\/[^\/].*/, $path))4. 组件化 URL 验证用parse_url()提取各组件分别验证协议、主机、路径是否在白名单内。$host parse_url($url, PHP_URL_HOST); if (in_array($host, $allowed_hosts))5. 外部跳转中间确认页对于必须跳往外部的场景先展示提示页由用户主动点击确认后再跳转。输出“您即将离开本站前往https://...是否继续”链接。常见错误模式危险错误写法漏洞成因绕过示例header(Location: . $_GET[redirect]);直接拼接用户输入完全信任客户端数据。?redirecthttps://evil.comif (strpos($_GET[redirect], info.php) ! false)子串包含检查可被查询参数、路径等绕过。?redirecthttps://evil.com/?xinfo.phpif (!preg_match(/http://https:///i, $url))黑名单不完整无法覆盖协议相对 URL、伪协议等。if (parse_url($url, PHP_URL_HOST) $_SERVER[HTTP_HOST])解析差异可能被利用如evil.comtrusted.com?redirecthttps://trusted.comevil.com旧版绕过以下绝不将用户输入直接拼接到 HTTP 响应头必须经过严格的验证或映射。使用白名单而非黑名单——只允许已知安全的地址而不是试图枚举所有危险模式。理解 HTTP 协议与 URL 规范协议相对 URL//、片段标识符#、控制字符等均可用于绕过简单过滤。业务需要外部跳转时必须通过中间页告知用户并限制可跳转的域名列表。