利用协议相对URL绕过个人简介“禁止链接”限制的技术分析

本文详细分析了在addons.allizom.org网站个人简介字段中,攻击者如何通过协议相对URL(//)绕过HTML链接限制,实现外部链接嵌入的技术细节和潜在安全风险。

绕过“禁止链接”限制的技术分析报告

漏洞概述

该报告发现addons.allizom.org网站个人简介字段存在安全漏洞。虽然应用程序明确声明禁止使用链接(显示"Links are forbidden"警告),但攻击者可以通过协议相对URL(//evil.com)在<a>标签中嵌入功能完整的超链接。

技术细节

漏洞利用方法

  1. 登录https://addons.allizom.org
  2. 点击编辑个人资料
  3. 在个人简介字段中使用payload:<a href="//evil.com">click</a>
  4. 该标签会被成功执行,点击"click"将重定向到http://evil.com/

HTML支持说明

系统明确声明支持的HTML标签包括: <abbr title><acronym title><b><blockquote><code><em><i><li><ol><strong><ul>

安全影响

违反声明策略

  • 破坏用户对"禁止链接"声明的信任
  • 攻击者可嵌入指向以下内容的链接:
    • 钓鱼网站
    • 恶意软件下载
    • 社会工程学攻击载荷

风险评估

Mozilla团队评估该限制主要用于防止垃圾信息,而非严格的安全控制,因此漏洞严重性评级为低危。

时间线

  • 2025年6月3日:漏洞报告提交
  • 2025年6月5日:状态更新为"待项目审核"
  • 2025年6月13日:添加"不当输入验证"弱点分类并发放赏金
  • 2025年7月29日:报告公开披露

技术分类

弱点类型:不当输入验证(Improper Input Validation) 严重等级:低(0.1 ~ 3.9) CVE ID:无

该漏洞展示了在Web应用程序中输入验证机制的重要性,特别是对用户生成内容的严格过滤和验证。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次