0x00 漏洞级别

中危

0x01 漏洞及风险描述

1

攻击者可以通过service 参数篡改参数值，将用户重定向到恶意域名让用户访问，从而实施钓鱼、诈骗或窃取敏感信息等攻击。

0x02 漏洞复现

在 CAS 认证体系中，service 参数通常用于指定用户完成操作（如登录、登出）后跳转的目标地址。
例如：
登录时，service 可能指定 “登录成功后返回的业务系统页面”；
登出时，service 可能指定 “登出后跳转的页面”（如业务系统首页、退出提示页）。
而登出接口（/cas/logout）的service通过构造：service=https://www.baidu.com/ 登出后跳转到百度首页。

1
2
3
4
5
6


GET /cas/logout?_eventId=next&service=https://www.baidu.com/&ts=1761184472555 HTTP/1.1
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Encoding: gzip,deflate,br
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.0.0 Safari/537.36
Host: xxxx.cn
Connection: Keep-alive

0x03 修复建议

1
2
3


1、配白名单校验：在 CAS 服务器配置中，仅允许 service 参数指向预定义的可信域名（如企业内部业务系统域名），拒绝任何未在白名单中的地址。
2、限制为相对路径：若业务允许，强制 service 参数使用相对路径（如 /home），而非绝对路径（http://xxx）。
过滤危险前缀：严格过滤 service 参数中的 http://、https://、// 等可能指向外部域名的前缀。