オープンリダイレクトセキュリティチェック (CWE-601)

チェック内容

攻撃者が信頼できるドメインからユーザーを悪意のあるサイトにリダイレクトするリンクを作成するオープンリダイレクト脆弱性から保護します。フィッシングキャンペーンで悪意のあるリンクを正当なものに見せかけたり、OAuthフローで認可コードを窃取したりするために使用されます。

脆弱なパターン

• redirect(request.args["next"]) — 呼び出し元が提供するあらゆるURLにリダイレクト
• http.Redirect(w, r, r.URL.Query().Get("return"), 302) — 検証なし
• response.sendRedirect(req.getParameter("url")) — Java の検証されていないリダイレクト
• window.location = params.get("redirect") — クライアント側のオープンリダイレクト

すぐに修正

脆弱なコードをフラグ付けし、リスクを説明します。その後、以下のプロパティを確立する修正を提案します:

1. すべてのリダイレクト対象は相対パスであるか、完全一致するホストの許可リストのメンバーです。 URLを解析し、ホストを検査し、許可リスト外のものは拒否します。プリフィックスマッチング (startswith) は不十分です — allowed.com.evil.com はプリフィックスチェックに合格してしまいます。
2. スキーム相対URLは明示的にブロックされます。 // で始まる値はプロトコル相対URLとして解析され、その後に続くホストにリダイレクトします。http:// / https:// だけをチェックするとこれを見落とします。
3. OAuthおよびログイン「リターント」パラメータは、他のリダイレクト対象と同じバリデータを通ります。 これらは認証されたコンテキストで実行されるため、最も価値の高いターゲットです。ここでのリダイレクトは、攻撃者にログイン後のセッションまたは認可コードを与えます。
4. 検証失敗時には、悪意のあるURLを含むエラーをエコーバックするのではなく、安全なデフォルト (/、ホーム、ダッシュボード) にリダイレクトします。 これをエコーバックすると、攻撃者に反射型XSS表面を与えてしまいます。

アンカー — 実装ではなく形状:

def safe_redirect(target):
    if target.startswith("//"): return "/"       # block scheme-relative
    u = parse(target)
    if u.host and u.host not in ALLOWED_HOSTS: return "/"
    return target

検証

• ユーザー入力から派生するすべてのリダイレクト対象は、相対パスまたは明示的なホスト許可リストのメンバーとして検証されている
• スキーム相対URL (//evil.com) がブロックされている — http:// と https:// だけではない
• OAuthおよびログイン「return_to」パラメータはリダイレクト前に検証されている

参考資料

• CWE-601 (信頼されていないサイトへのURL リダイレクション)