绕过"禁止链接"限制的协议相对URL漏洞
漏洞概述
该报告发现addons.allizom.org网站个人简介字段存在安全漏洞。虽然应用明确声明禁止使用链接(显示"Links are forbidden"提示),但攻击者可以通过协议相对URL(//evil.com)在标签中嵌入功能完整的超链接。这导致攻击者能够在个人简介中插入可点击的外部链接,违反了应用声明的安全策略。
漏洞复现步骤
- 登录网站 https://addons.allizom.org
- 点击编辑个人资料
- 在个人简介字段中,系统会显示警告:“Some HTML supported:
- . Links are forbidden.”
- 插入payload:
<a href="//evil.com">click</a>- 验证该标签被执行,点击"click"会重定向到http://evil.com/
漏洞影响
- 违反应用声明的安全策略,破坏用户信任
- 使攻击者能够嵌入以下恶意链接:
- 钓鱼网站
- 恶意软件下载
- 社会工程攻击载荷
漏洞评估
Mozilla安全团队评估该限制主要用于防止垃圾信息而非安全控制,因此绕过该限制的严重性评级为低风险。
时间线
- 2025年6月3日:漏洞报告提交
- 2025年6月5日:状态更新为"Pending program review"
- 2025年6月13日:漏洞被确认,奖励漏洞发现者
- 2025年7月29日:漏洞报告公开披露
漏洞分类
弱点类型:不当输入验证(Improper Input Validation) 严重程度:低(0.1~3.9) CVE ID:无 赏金:隐藏