Open Redirect 攻撃を受ける例

よくあるログイン前にいたページに、ログイン後戻るコードを含むアクションです。ASP.NET では歴史的に ReturnUrl というクエリパラメータで、ログイン後に戻りたい URL が渡されることが多いです。

public class LoginController : Controller
{
    public IActionResult Index(string returnUrl)
    {
        ViewData["ReturnUrl"] = returnUrl;

        return View();
    }

    [HttpPost]
    public IActionResult Index(LoginModel model, string returnUrl = "/mypage")
    {
        if (!ModelState.IsValid)
        {
            return View(model);
        }

        return Redirect(returnUrl);
    }
}

この時に ReturnUrl の飛び先を検証していない場合、Open Redirect 攻撃を受けてしまいます。

なので、この例では ReturnUrl に全く別の URL を指定すると、ログイン成功後に別ドメインに容易にリダイレクトされてしまいます。実際に危険サイトに飛ばされていることが確認できますね。

テンプレート通りの実装をしていれば大体問題はないですが、ログイン周りはカスタム実装になってしまうことが多いので、そうは言ってられません。なのでクエリパラメータなどでリダイレクト先を受け取る場合にはちゃんとチェックをしましょう。

LocalRedirect を使う

わかりやすい対処方法は Redirect を使っている部分を LocalRedirect に置き換えるだけです。

[HttpPost]
public IActionResult Index(LoginModel model, string returnUrl = "/mypage")
{
    if (!ModelState.IsValid)
    {
        return View(model);
    }

    return LocalRedirect(returnUrl);
}

これで同じ URL からログインを試みると、以下のように例外が投げられてエラーページに飛びます。

危険なページにリダイレクトすることは避けれますが、エラーページに飛ばしたくない場合のが多いと思うので、大体は IsLocalUrl でチェックをする方が良いと思いました。

IsLocalUrl を使う

こっちの方法は ASP.NET MVC 3 ぐらいから使えます。Url.IsLocalUrl を使ってリダイレクト先が正しいかチェックし、問題がある場合にはデフォルトのページに飛ばしてしまうコードです。

[HttpPost]
public IActionResult Index(LoginModel model, string returnUrl = "/mypage")
{
    if (!ModelState.IsValid)
    {
        return View(model);
    }

    if (!Url.IsLocalUrl(returnUrl))
    {
        return LocalRedirect("/mypage");
    }

    return LocalRedirect(returnUrl);
}

試すと ReturnUrl で指定した URL とは関係なく、デフォルトのページに飛ばされていることが分かります。

最後に軽くまとめると、ASP.NET Core でリダイレクトを書く場合には RedirectToAction か LocalRedirect を使っておけば 9 割は問題ありません。残り 1 割は OAuth のログインなどで、信頼済み URL にリダイレクトする場合などに限り Redirect を使えばよいでしょう。

とはいえ、ほとんどのケースでは RedirectToAction を使っているはずなので、対応は容易でしょう。