绕过个人简介"禁止链接"限制的协议相对URL漏洞
漏洞概述
该报告发现addons.allizom.org网站个人简介字段存在安全问题:应用程序虽然明确声明禁止使用链接,但攻击者可以通过协议相对URL(//evil.com)绕过此限制。尽管应用策略明确禁止链接,用户仍可使用语法<a href="//evil.com">click</a>嵌入功能性超链接,成功创建可点击的重定向到外部网站的链接。
由于链接限制主要用于防止垃圾信息而非安全控制,因此绕过此限制的严重性较低。
复现步骤
- 登录网站 https://addons.allizom.org
- 点击编辑个人资料
- 在个人简介字段中,系统会显示警告:“支持部分HTML:
- 。禁止使用链接。”
- 添加标签 payload:
<a href="//evil.com">click</a>- 验证该标签被执行,点击"click"会重定向到 http://evil.com/
影响
- 违反声明的应用程序策略:用户信任链接不被允许
- 使攻击者能够嵌入指向以下内容的链接:
- 钓鱼网站
- 恶意软件下载
- 社会工程学攻击载荷
时间线
- 2025年6月3日:漏洞报告提交
- 2025年6月5日:Mozilla团队确认限制主要用于防止垃圾信息发送者
- 2025年6月13日:添加弱点分类"不当输入验证"并发放赏金
- 2025年7月29日:报告公开披露
技术细节
漏洞分类:不当输入验证 严重程度:低(0.1 ~ 3.9) CVE ID:无 状态:已解决