利用协议相对URL(//)绕过个人简介"禁止链接"限制的技术分析

本文详细披露了在addons.allizom.org网站中,攻击者如何通过协议相对URL(//evil.com)绕过个人简介字段的HTML链接限制,实现恶意链接嵌入的技术细节与复现步骤。

绕过"禁止链接"限制的技术分析报告

漏洞概述

在addons.allizom.org平台的个人简介编辑功能中,虽然系统明确声明"Links are forbidden"(禁止链接),但攻击者可以通过协议相对URL语法<a href="//evil.com">click</a>成功植入可点击的超链接。这违反了应用声明的安全策略,可能被用于钓鱼攻击、恶意软件传播等场景。

技术细节

漏洞复现步骤

  1. 登录 https://addons.allizom.org
  2. 进入个人资料编辑页面
  3. 在个人简介字段插入Payload:<a href="//evil.com">click</a>
  4. 保存后,点击生成的"click"链接将跳转到http://evil.com/

限制绕过原理

系统未正确过滤协议相对URL(以双斜杠"//“开头的URL),这种URL会继承当前页面的协议(HTTP/HTTPS)。相比完整URL,协议相对URL能绕过简单的链接检测机制。

影响评估

  1. 违反应用声明的安全策略,破坏用户信任
  2. 攻击者可嵌入:
    • 钓鱼网站链接
    • 恶意软件下载地址
    • 社会工程攻击载体

官方回应

Mozilla安全团队确认:

  • 该限制主要为防垃圾信息而非安全控制
  • 漏洞评级为"低危”
  • 根本原因是"Improper Input Validation"(输入验证不充分)
  • 已向报告者发放漏洞奖金

时间线

  • 2025-06-03 漏洞提交
  • 2025-06-13 确认为有效漏洞并修复
  • 2025-07-29 公开披露
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次