会说谎的URL
我叫URL,即“Uniform Resource Locators”,意思是统一资源定位器。地址栏中的网址就属于URL的一种表达形式。根本上所有访问web的朋友使用到URL,所以我的感化是很大的。大约很多朋友都不知道,我但是很会骗人的。极其是有一群自称黑客的家伙很love让我诱骗你们,趁你们不寄望,就让我带你进入植入了木马的网页。所以我不日要英勇的自揭其短,让你们看清我,切切不要被那些黑客操纵我把你们给诱骗了。
说谎:URL诱骗的惯用招式
操纵我URL骗人的动作有很多种,譬喻起个具备威逼性的web称说或使用易混的字母数字偷换休止银行网络垂纶,还有裂痕百出的“%30%50”之类的Unicode编码等等。但是操纵我骗人最惯用的招式莫过于以下两个:
1.@标记过滤用户名的分析
原本@标记是E-mail地址的用户名与主机的分隔隔离分散符,但在我URL中同样实用,并且功能天差地别。HTTP(超文本传输协定)规则了我URL的残缺样式是“Http://Name:Password@IP地址或主机名”,其中的“IP地址或主机名”是必填项。@标记与其前面的“Name:Password”,意为“用户名:密码”,属于可选项。也就是说,在我URL中真正起分析感化的网址是从@标记前面劈脸的,这就是诱骗原理。
举例:某QQ老友发给你一个说是有最新大片收费下载的地址 “Http://www.sohu.com@www.Trojan.com.cn/HuiGeZi_Server.exe”,你敢上去就点吗?确实,一眼看上去是“www.sohu.com”搜狐web的链接,而实践上这儿的“www.sohu.com”只是个写成搜狐网址形式的用户名(此处的密码为空),因为前面有@标记。而真正链接的网址倒是“www.Trojan.com.cn/HuiGeZi_Server.exe”(这儿为了好熟习,我杜撰了一个木马web,其下有“灰鸽子”处事端),只要自己点击就会被种下木马。这个发来的URL地址其实完全等同于“Http:// www.Trojan.com.cn/HuiGeZi_Server.exe”,而与前面的用户名毫无关连,只是威胁性可就大大行进了。即使没有这个用户名,也完全不影响阅读器对URL的分析。自己假设不信,就在地址栏中未便写上个像是“Http://abcdefg@www.sohu.com/”之类的地址再回车试试,仍是仍是儿进入搜狐web。
2.十进制的IP地址
常见的IP地址囊括四个字节,群体默示形式为“xxx.xxx.xxx.xxx”(x默示一个十进制数码),好比“61.135.132.12”。因为隧道的数字IP地址过于笼统、难以记忆,所以采取域名处事DNS来与之对应。自己在阅读器地址栏中输出“Http://www.sohu.com”与“Http://61.135.132.12”的结果完全同样,都是访问搜狐web,因为61.135.132.12就是搜狐域名http://www.sohu.com/的IP地址。无非,假设再试试“Http://1032291340”的话,结果一定会让很多人惊讶,因为如故翻开了搜狐web!
为何一个十进制数“1032291340”等同于一个IP地址“61.135.132.12”呢?其实我刚才已经泄漏表现过自己了,四位点分十进制形式的IP地址“61.135.132.12”代表一组32位二进制数码,假设合在一块儿再转换成一个十进制数的话,答案就是1032291340。转换动作很复杂,就是数制的按权发展:
61*256^3+135*256^2+132*256^1+12*256^0=1023410176+8847360+33792+12=1032291340
(基数为256)
邃晓了这个原理,自己再回头看看刚才例子中的“www.Trojan.com.cn/HuiGeZi_Server.exe”。假设说这种字母域名还会裸露一截狐狸尾巴的话,那么当把它对应的IP地址(如果为“61.135.132.13”)换算成一个十进制数,结果是1032291341,再拆散@标记过滤用户的分析,诱骗性就又上了一个台阶——Http://www.sohu.com@1032291341。此时,还会有几许人会怀疑这个URL不是搜狐呢?
小武艺花样:间接复制一串十进制的数值是无奈转向的,好比“1945096731”。理应何等写“http://1945096731”本事指向baidu首页。(缘故起因是有些阅读器默认在url栏里开启了搜索功能)
VIA@Nuclear’Atk 网络安全钻研中心
link:http://lcx.cc/?i=127
小编语:这篇文章很短,但是带给咱们这两个URL诱骗的例子其实是很是使用。迥殊是社会工程学与XSS裂痕迥殊风行的现阶段网络安全情况,都是筹算到与方针人员休止交互。如何让web治理员或站长不起疑心地址击你惟一布局的连贯,这是一个很大的标题问题。说其实话,像刚才“Http://www.sohu.com@1032291341”这种布局得如斯奥密的URL,就算小编我这种小黑,不细看之下也会不盲目点击。文章虽小,但模式迥殊合用。有了这个URL诱骗的武艺花样,你还怯怯乔乔治理员不到你碗里来吗?
