Location 302跳转 + CRLF 场景下的XSS构造技术<\/h1>

1. 漏洞背景<\/h2>
本案例研究了一种特殊的XSS攻击场景，结合了302跳转和CRLF注入漏洞。这种攻击在特定浏览器环境下可以绕过常规的安全限制，实现跨站脚本攻击。<\/p>

2. 基本概念<\/h2>

2.1 302跳转<\/h3>
HTTP 302状态码表示临时重定向，服务器会通过Location响应头指定重定向目标。浏览器通常会忽略302响应的正文内容。<\/p>

2.2 CRLF注入<\/h3>
CRLF（Carriage Return Line Feed）指回车换行符（`\r\n<\/code>）。当应用程序未正确处理用户输入中的这些字符时，攻击者可以注入额外的HTTP头或修改现有头。<\/p>`

3. 漏洞发现<\/h2>
3.1 初始发现<\/h3>

目标系统存在URL跳转功能<\/li>
GET参数直接输出在Location响应头中，无任何过滤<\/li>
系统解析换行符和回车符（CRLF）<\/li>
<\/ul>
3.2 测试过程<\/h3>

尝试在Location头中插入CRLF字符<\/li>
在CRLF后添加HTML+JS代码尝试构造XSS<\/li>
发现常规302响应下浏览器不解析响应正文<\/li>
<\/ol>
4. 绕过技术研究<\/h2>
4.1 已有研究<\/h3>
Fortinet研究人员发现可以通过将Location头设置为mailto:\/\/<\/code>开头的URI来绕过302跳转限制。<\/p>
4.2 Fuzz测试<\/h3>
基于IANA协议列表进行测试，使用格式：<\/p>
http:\/\/acme.corp\/?redir=[URI_SCHEME]:\/\/gremwell.com%0A%0A[XSS_PAYLOAD]
<\/code><\/pre>
4.3 有效协议<\/h3>
测试发现以下协议在Firefox上有效：<\/p>

ws:\/\/<\/code> (WebSocket)<\/li>
wss:\/\/<\/code> (Secure WebSocket)<\/li>
<\/ul>
4.4 其他发现<\/h3>

空Location头<\/strong>：在Chrome上可执行响应正文中的XSS代码<\/li>
resource协议<\/strong>：Location: resource:\/\/URL<\/code>在Firefox上可执行payload<\/li>
<\/ol>
5. 攻击构造示例<\/h2>
5.1 WebSocket协议示例<\/h3>
http:\/\/vulnerable.site\/redirect?url=ws:\/\/example.com%0A%0A<script>alert(document.domain)<\/script>
<\/code><\/pre>
5.2 空Location头示例<\/h3>
http:\/\/vulnerable.site\/redirect?url=%0A%0A<script>alert(document.domain)<\/script>
<\/code><\/pre>
5.3 resource协议示例<\/h3>
http:\/\/vulnerable.site\/redirect?url=resource:\/\/example.com%0A%0A<script>alert(document.domain)<\/script>
<\/code><\/pre>
6. 浏览器兼容性<\/h2>



技术<\/th>
Firefox<\/th>
Chrome<\/th>
IE<\/th>
<\/tr>
<\/thead>


ws:\/\/<\/td>
✓<\/td>
✗<\/td>
✗<\/td>
<\/tr>

空Location<\/td>
✗<\/td>
✓<\/td>
✗<\/td>
<\/tr>

resource:\/\/<\/td>
✓<\/td>
✗<\/td>
✗<\/td>
<\/tr>
<\/tbody>
<\/table>
7. 防御措施<\/h2>
7.1 输入验证<\/h3>

严格过滤用户输入中的CRLF字符（\r<\/code>, \n<\/code>, %0A<\/code>, %0D<\/code>）<\/li>
使用白名单机制验证重定向URL<\/li>
<\/ul>
7.2 输出编码<\/h3>

对输出到HTTP头中的内容进行编码<\/li>
使用专门的库函数设置HTTP头<\/li>
<\/ul>
7.3 其他措施<\/h3>

避免直接将用户输入放入Location头<\/li>
使用中间跳转页代替直接302重定向<\/li>
设置Content-Security-Policy头限制脚本执行<\/li>
<\/ul>
8. 总结<\/h2>
本案例展示了如何利用CRLF注入和特殊协议绕过302跳转限制实现XSS攻击。这种攻击需要特定浏览器环境，但危害性仍然很高。防御此类攻击需要严格过滤用户输入，并正确设置HTTP头。<\/p>

Location 302跳转 + CRLF 场景下的XSS构造技术<\/h1>

1. 漏洞背景<\/h2> 本案例研究了一种特殊的XSS攻击场景，结合了302跳转和CRLF注入漏洞。这种攻击在特定浏览器环境下可以绕过常规的安全限制，实现跨站脚本攻击。<\/p>

2. 基本概念<\/h2>

2.1 302跳转<\/h3> HTTP 302状态码表示临时重定向，服务器会通过Location响应头指定重定向目标。浏览器通常会忽略302响应的正文内容。<\/p>

2.2 CRLF注入<\/h3> CRLF（Carriage Return Line Feed）指回车换行符（\r\n<\/code>）。当应用程序未正确处理用户输入中的这些字符时，攻击者可以注入额外的HTTP头或修改现有头。<\/p>

4. 绕过技术研究<\/h2>

4.1 已有研究<\/h3> Fortinet研究人员发现可以通过将Location头设置为mailto:\/\/<\/code>开头的URI来绕过302跳转限制。<\/p>

5. 攻击构造示例<\/h2>

7. 防御措施<\/h2>

8. 总结<\/h2> 本案例展示了如何利用CRLF注入和特殊协议绕过302跳转限制实现XSS攻击。这种攻击需要特定浏览器环境，但危害性仍然很高。防御此类攻击需要严格过滤用户输入，并正确设置HTTP头。<\/p>

1. 漏洞背景<\/h2>
本案例研究了一种特殊的XSS攻击场景，结合了302跳转和CRLF注入漏洞。这种攻击在特定浏览器环境下可以绕过常规的安全限制，实现跨站脚本攻击。<\/p>

2.1 302跳转<\/h3>
HTTP 302状态码表示临时重定向，服务器会通过Location响应头指定重定向目标。浏览器通常会忽略302响应的正文内容。<\/p>

2.2 CRLF注入<\/h3>
CRLF（Carriage Return Line Feed）指回车换行符（`\r\n<\/code>）。当应用程序未正确处理用户输入中的这些字符时，攻击者可以注入额外的HTTP头或修改现有头。<\/p>`

4.1 已有研究<\/h3>
Fortinet研究人员发现可以通过将Location头设置为`mailto:\/\/<\/code>开头的URI来绕过302跳转限制。<\/p>`

8. 总结<\/h2>
本案例展示了如何利用CRLF注入和特殊协议绕过302跳转限制实现XSS攻击。这种攻击需要特定浏览器环境，但危害性仍然很高。防御此类攻击需要严格过滤用户输入，并正确设置HTTP头。<\/p>