不要蒙骗您的眼睛 解析URL欺骗

　　打开浏览器，输入网址、点击链接可以算是我们上网时最频繁的操作了。但你有没有想过，我们瞅准点击的链接后面也许藏着一个不可告人的秘密，将把你带入一个“万劫不复”的境地;或者你深信不疑地点击进入的网上银行也许是个钓鱼网站!这就是传说中的URL欺骗，也许你没有经历过，或者正在经历者，或曾深受其害。这一切，让我们感叹“眼见为虚”。下面我们一起来解析一下URL欺骗。

　　一、原理

　　1.前置知识

　　URL是全球资源定位符的英文缩写，就是我们平常称之为的超级链接。

　　其最普通的形式定义为:

　　<scheme>:<scheme-specific-part>

　　<scheme>部分是网络协议名称，

　　<scheme-specific-part>部分被定义为：

　　//<user>:<password>@<host>:<port>/<url-path>

　　其中只有部分是必须的. ":"和"@"字符具有特殊的含义,从而服务器可以解析完整的字符串.如果用户名和密码包含在URL中,部分只是从"@"字符后开始。真是基于这一定义，URL欺骗就在//<user>:<password>不符做文章，进行欺骗，受害者多是那些对网络了解不够深入或足粗心大意之人。

　　2.实例印证

　　我们来看“http://www.microsof.com:gslw@test.com/”这个网址，表面上似乎指向的是微软的网站，但事实它将不会指向到微软的网站，而是指向“@”后面的test.com网站。(图1)

　　图1

　　二、解析URL欺骗伎俩

　　1.简单伪装，偷梁换柱

　　通过在线交流工具或者邮箱告诉别人一个伪装的URL地址，如果不注意就会中招。

　　比如http://security.ctocio.com.cn@www.3800hk.com这个URL地址，其中真正的主机是"www.3800hk.com"."security.ctocio.com.cn"在这个URL中不过是个假的用户名,服务器会忽略它，最终打开的页面是www.3800hk.com由于前面的地址为security.ctocio.com.cn因为大家都知道这个站，比较信赖于它，所以这起了个很好的欺骗作用。

　　提示：http://security.ctocio.com.cn@www.3800hk.com这样的URL在IE6.0及其IE7.0中使用的话会提示语法错误，但是如果对方使用的是第三方浏栏器，比如Maxthon，腾讯TT，GreenBrowser的话依然可以欺骗，这对大家防范这类URL欺骗提供了一个思路。(图2)

　　图2

　　2.设计代码，瞒天过海

　　首先将以下几行html代码存为网页文件：

　　<p><a id="qipian" href="http://www.google.com"></a></p>

　　<div>

　　<a href="http://www.baidu.com" target="_blank">

　　>

　　<caption>

　　<label for="qipian">

　　<u style="cursor;pointer;color;blue">

　　www.baidu.com

　　</u>

　　</label>

　　</caption>

　　</table>

　　</a>

　　</div>

　　以上的代码就是伪造一个超级链接，并为它设置了标签迷惑人，这就隐藏了真正所指向的网址。使用IE打开后，你会发现一个超级链接，把鼠标放在上面，鼠杯会变成手形，而左下角状态栏也会出现这个超级链接的网址，一切看起来是那么的正常。(图3)

　　图3

　　但是当你点击上去就上当了，超级链接所指向的不是http://www.baidu.com而是http://www.google.com。(图4)

　　图4

　　3.加密URL,暗渡陈仓

　　上面两例URL欺骗只是简单的隐藏了它的真实目的地不够隐蔽，为此某些人想出了更好的方法来进行隐藏。这种隐藏就是对RUL地址进行加密或者数据转换。

　　(1)IP地址十进制转换

　　原理：

　　由于某些原因(有可能是内部处理引起的)，有的操作系统对IP地址的操作并不是通过我们常用的格式，就象是:aaa.bbb.ccc.ddd，而是相应的十进制数。

　　实例：

　　通过数据转换把像http://127.0.0.1/这类地址可以改写成十进制值的http://2130706433/，在浏览器中输入http://2130706433/你会发现你已经打开了http://127.0.0.1的主页面。(图5)

　　图5

　　提示：以上操作在IE6.0测试无效，但在IE7.0中成功。奇怪，不知道微软是怎么考虑的。

　　(2)IP地址点分八、十六进制加密

　　由于十进制转换在IE6.0中测试不成功，而它又是浏览器的主流，因此上述方法有一定的局限性。于是有人就编写了加密程序，对IP地址进行点分八进制和点分十六进制的加密。(图6)

　　图6

　　从图6中可以看到我们用点八分进制加密IP127.0.0.1的结果为http://0177.00.00.01/在浏览器中输入http://0177.00.00.01/ 会看到我们打开了127.0.0.1这个页面。(图7)

　　图7

　　点分十六进制加密127.0.0.1后得到http://0x7F.0x0.0x0.0x1/ 在浏览器打开http://0x7F.0x0.0x0.0x1/ 会得到同样的结果。

　　待加密URL可以为IP也可以为域名.这里我以http://security.ctocio.com.cn演示.点击加密后得到

　　http://%73%65%63%75%72%69%74%79%2E%63%74%6F%63%69%6F%2E%63%6F%6D%2E%63%6E/

　　在浏览器输入http://%73%65%63%75%72%69%74%79%2E%63%74%6F%63%69%6F%2E%63%6F%6D%2E%63%6E/打开的就是IT专家网安全子站的页面(图8)

　　图8

　　三、防范措施

　　URL欺骗的具体方式还有很多，但都不外乎在URL地址和网页代码上做文章，都是利用了网友们的疏忽大意，安全意识单薄的弱点。URL欺骗造成的危害是巨大的，轻则把你引导到挂马网页，让你中毒，重则通过钓鱼技术骗取你的机密信息。那么如何来防范URL欺骗呢?

　　1.核实链接来源

　　(1)对于银行发来的手机短信，应认真核实短信的来源，如涉及到账号问题要和银行进行电话确认。

　　(2)对要求重新输入账号信息，否则将停掉信用卡账号之类的邮件不予理睬。

　　(3)不要回复或者点击邮件的链接，如果你想核实电子邮件的信息，可以使用电话联系。

　　(4)若想访问某个公司的网站，使用浏览器直接访问，输入网址前，有必要确认网址的来源。点击邮件中的链接、短信即时通信工具如QQ、MSN都是不可取的。

　　(5)如果一个网址中含有“@”符号，应该意识到，一般网址是完全没有必要使用“@”符号的，因此不要使用这个网址。

　　2、网上银行安全使用技巧

　　一个简便的方法可帮你安全地使用网上银行，现以中国工商银行的网站为例进行介绍。

　　进入网上银行后，在看到输入框时，不要急于输入信息，此时要检查IE是否启用加密链接(看看是不是有小锁的图标)，并检查证书是否有效(双击小锁图标，打开“证书”界面，查看其有效期)，最好还要检查证书是否与地址栏的地址相匹配(在“证书”界面中选择“证书路径”，并查看“证书路径”最后一项是不是与地址栏中的地址一致)。如果其中一项不符合，那么就要小心了。

　　接下来，为了防止计算机中可能有木马窃取重要的信息，建议输入卡号与密码时采取如下方式：如卡号为“123456789”，密码为“654321”，输入卡号时先输入“567891234”，再利用剪切/复制功能改为正确的卡号。这样一来，记录键盘操作的木马也无法取得正确的卡号。

　　提示：有的银行登录密码和取款密码可以设置为不同的密码，如果银行有这样的服务，请一定将取款密码与查询/登录密码设为不同密码，这样即使查询/登录密码泄漏，也不会影响资金安全。

　　总结：本文对于URL欺骗的简单解析，目的是让大家认识到在超级链接中存在的URL欺骗，增强安全意识。毕竟安全是以人为本的，任何欺骗都是首先突破了人才得以实现的。