オープンリダイレクトの基本検証

f:id:NickShadows:20190804122921j:plain

バグバウンティ習得用のアウトプットとしてまとめます。
随時更新していきます。
※バグバウンティの勉強の一貫として記載しています。
 検証環境はすべて渡しのローカル環境です。
 絶対に悪用しないでください

オープンリダイレクトとは

想定外のURLにリダイレクトされてしまう脆弱性です。




OWASP

cheatsheetseries.owasp.org





ペイロード

https://domain.com
@domain.com
//domain.com

基本的に他サイトのURLやドメインを指定します。




正常
f:id:NickShadows:20190804124922p:plain

f:id:NickShadows:20190804124938p:plain:h100

f:id:NickShadows:20190804125021p:plain

f:id:NickShadows:20190804124938p:plain:h100

f:id:NickShadows:20190804125046p:plain





改ざん①
f:id:NickShadows:20190804125326p:plain

f:id:NickShadows:20190804124938p:plain:h100

f:id:NickShadows:20190804125404p:plain





改ざん②
f:id:NickShadows:20190804130022p:plain

f:id:NickShadows:20190804124938p:plain:h100

f:id:NickShadows:20190804130059p:plain





改ざん③
f:id:NickShadows:20190804130209p:plain

f:id:NickShadows:20190804124938p:plain:h100

f:id:NickShadows:20190804130232p:plain





何もしていなければ①、文字列検知やhttpsが使えない場合は②と③でなんとかなることが多いです。




google docs

例で使われていたパラメータは「url」でした。
だいたい似たようなパラメータ名が使われることが多いです。




以下のように検索することで大雑把に絞り込むことができます。

site:【domain】 inurl:url OR inurl:uri OR inurl:returnUrl OR inurl:returnUri OR inurl:next OR inurl:nextPage OR inurl:redirect OR inurl:continue

その他のクエリ

www.exploit-db.com