利用协议相对URL绕过个人简介“禁止链接”限制

本文详细描述了在addons.allizom.org网站的个人简介字段中,攻击者如何通过协议相对URL(//)绕过HTML链接限制,实现外部链接嵌入的技术细节和复现步骤。

绕过“禁止链接”限制的技术分析

漏洞概述

该报告发现addons.allizom.org网站个人简介字段存在安全漏洞。尽管应用程序明确声明禁止使用链接(显示"Links are forbidden"警告),但攻击者可以通过协议相对URL(//evil.com)在<a>标签中嵌入功能完整的超链接。

技术细节

漏洞利用方式

攻击者使用以下payload绕过限制:

1

<a href="//evil.com">click</a>

复现步骤

  1. 登录https://addons.allizom.org
  2. 点击编辑个人资料
  3. 在个人简介字段中输入协议相对URL payload
  4. 保存后,生成的链接可正常点击并重定向到外部网站

安全影响

  • 违反应用程序声明的安全策略
  • 攻击者可嵌入:
    • 钓鱼网站链接
    • 恶意软件下载链接
    • 社会工程学攻击载荷

严重性评估

Mozilla团队评估该漏洞严重性为低危,主要原因为链接限制主要用于防止垃圾信息,而非严格的安全控制措施。

时间线

  • 2025年6月3日:漏洞报告提交
  • 2025年6月5日:状态更新为"Pending program review"
  • 2025年6月13日:漏洞被确认,奖励发放
  • 2025年7月29日:报告公开披露

根本原因

漏洞被归类为"Improper Input Validation"(不当输入验证),应用程序未能正确验证和过滤协议相对URL格式的链接。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次