绕过“禁止链接”限制 via 协议相对URL (//)
摘要
该报告发现addons.allizom.org网站个人简介字段存在安全问题:尽管应用明确禁止使用链接,但攻击者可以通过协议相对URL(如<a href="//evil.com">click</a>)绕过限制,成功创建可点击的重定向到外部网站的超链接。
链接限制主要用于防止垃圾信息,并非严格的安全控制,因此绕过此限制的严重性较低。
复现步骤
- 登录网站 https://addons.allizom.org
- 点击编辑个人资料
- 在个人简介字段中,系统会显示警告:“支持部分HTML标签:
- 。禁止使用链接。”
- 添加payload:
<a href="//evil.com">click</a>- 验证该标签被执行,点击"click"会重定向到http://evil.com/
影响
- 违反声明的应用策略:用户信任链接不被允许
- 使攻击者能够嵌入指向以下内容的链接:
- 钓鱼网站
- 恶意软件下载
- 社会工程学攻击载荷
时间线
- 2025年6月3日:yoyomiski提交报告
- 2025年6月5日:Mozilla员工将严重性从无改为低,状态改为已分类
- 2025年6月13日:添加弱点"不当输入验证",发放奖金
- 2025年7月28日:报告状态改为已解决
- 14天前:报告被披露
技术细节
弱点类型:不当输入验证
严重性:低 (0.1 ~ 3.9)
CVE ID:无
奖励状态:已发放(金额隐藏)
该漏洞利用协议相对URL(//)语法绕过前端验证,虽然不属于高危漏洞,但破坏了用户信任并可能被用于社会工程学攻击。