Outlook 的 SafeLinks 发送 GET 请求 - 为什么这不是一个更大的问题？

这似乎是因为 Outlook 向人力资源系统的批准 URI 发送了 GET 请求，以检查该链接是否是恶意的；但这样做却批准了员工的休假。

这违反了相关的技术规范和最佳实践。

来自RFC7231：

如果请求方法的定义语义本质上是只读的，则认为这些方法“安全”；即，客户端不会请求、也不会期望将安全方法应用于目标资源后导致源服务器发生任何状态变化。同样，合理使用安全方法不会对源服务器造成任何损害、财产损失或异常负担。

根据相同的标准，Get 是一个安全的幂等请求。Outlook 所做的是明确地根据标准允许：

在本规范定义的请求方法中，GET、HEAD、OPTIONS 和 TRACE 方法被定义为安全的。

区分安全方法和不安全方法的目的是让自动检索过程（蜘蛛）和缓存性能优化（预取）能够正常工作，而不必担心造成损害。此外，它还允许用户代理在处理可能不受信任的内容时对不安全方法的自动使用施加适当的限制。

您的 HR 应用程序已损坏，需要更新。

尽管几个原因为什么“安全链接”造成的问题比它解决的问题还多，这也是人力资源系统的设计缺陷和漏洞：

1. 此类行动应该需要身份验证即，具有操作所需权限的用户应登录。“安全链接”不是来自经过身份验证的会话。它可以属于以下任何类别：

   • CWE-306：缺少关键功能的身份验证

     该产品不会对需要可证明用户身份或消耗大量资源的功能执行任何身份验证。

   • CWE-862：缺少授权

     当参与者试图访问资源或执行操作时，软件不会执行授权检查。

   • CWE-749：暴露危险方法或功能

     该软件提供了应用程序编程接口（API）或类似的接口用于与外部参与者交互，但该接口包含未得到适当限制的危险方法或功能。

   即使链接有随机部分，也不够强大，因为链接很容易泄露或被猜测。

   • CWE-1390：弱身份验证

     该产品使用身份验证机制来限制特定用户或身份的访问，但该机制不足以证明所声称的身份是正确的。

2. 系统不应根据单个GET请求执行批准或拒绝操作，但链接页面应该有按钮来通过单独的POST请求确认所需的操作。

   HTTP 语义中也推荐这样做，RFC 9110, 9.2.1：

   9.2.1. 安全方法

   如果请求方法的定义语义本质上是只读的，则认为请求方法“安全”；即，客户端不会请求、也不会期望将安全方法应用于目标资源后导致原始服务器上的任何状态改变。- -

   在本规范定义的请求方法中，GET、HEAD、OPTIONS 和 TRACE 方法被定义为安全的。

   区分安全方法和不安全方法的目的是让自动检索过程（蜘蛛）和缓存性能优化（预取）能够正常工作，而不必担心造成损害。此外，它还允许用户代理在处理可能不受信任的内容时对不安全方法的自动使用施加适当的限制。

请向软件供应商报告此漏洞。

经过进一步的实验后，我想我找到了原因。

没有问题的 URI 都包含查询字符串；而我们遇到问题的 URI 没有包含查询字符串。

发送测试至https://example.com/approve?try=this我没有在网站日志中看到返回的确切 URI，而是看到GET请求被发送到https://example.com/approve?try=bcce;即查询字符串中的名称-值对的值部分被替换为垃圾值。也就是说，这种行为在我的测试中并不一致/我不确定 MS 在何时替换值以及何时保留值方面遵循什么规则。

似乎其他人之前也讨论过这个问题；此主题。

从客户端的角度来看，最好的解决方法是将 URL 列入白名单，这样 SafeLinks 就不会扫描它。更多信息微软文档。