科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道不要蒙骗您的眼睛 解析URL欺骗

不要蒙骗您的眼睛 解析URL欺骗

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

您是否经历过钓鱼网站等恶意网站的URL欺骗呢?您是否还相信自己的眼睛呢?本文IT专家网将实例分析,让用户擦亮自己的眼睛,认清URL欺骗的本质……

作者:甘肃/老五 来源:IT专家网 2008年10月10日

关键字: URL欺骗 Web安全

  • 评论
  • 分享微博
  • 分享邮件

  打开浏览器,输入网址、点击链接可以算是我们上网时最频繁的操作了。但你有没有想过,我们瞅准点击的链接后面也许藏着一个不可告人的秘密,将把你带入一个“万劫不复”的境地;或者你深信不疑地点击进入的网上银行也许是个钓鱼网站!这就是传说中的URL欺骗,也许你没有经历过,或者正在经历者,或曾深受其害。这一切,让我们感叹“眼见为虚”。下面我们一起来解析一下URL欺骗。

  一、原理

  1.前置知识

  URL是全球资源定位符的英文缩写,就是我们平常称之为的超级链接。

  其最普通的形式定义为:

  <scheme>:<scheme-specific-part>

  <scheme>部分是网络协议名称,

  <scheme-specific-part>部分被定义为:

  //<user>:<password>@<host>:<port>/<url-path>

  其中只有部分是必须的. ":"和"@"字符具有特殊的含义,从而服务器可以解析完整的字符串.如果用户名和密码包含在URL中,部分只是从"@"字符后开始。真是基于这一定义,URL欺骗就在//<user>:<password>不符做文章,进行欺骗,受害者多是那些对网络了解不够深入或足粗心大意之人。

  2.实例印证

  我们来看“http://www.microsof.com:gslw@test.com/”这个网址,表面上似乎指向的是微软的网站,但事实它将不会指向到微软的网站,而是指向“@”后面的test.com网站。(图1)

URL欺骗

  图1

  二、解析URL欺骗伎俩

  1.简单伪装,偷梁换柱

  通过在线交流工具或者邮箱告诉别人一个伪装的URL地址,如果不注意就会中招。

  比如http://security.ctocio.com.cn@www.3800hk.com这个URL地址,其中真正的主机是"www.3800hk.com"."security.ctocio.com.cn"在这个URL中不过是个假的用户名,服务器会忽略它,最终打开的页面是www.3800hk.com由于前面的地址为security.ctocio.com.cn因为大家都知道这个站,比较信赖于它,所以这起了个很好的欺骗作用。

  提示:http://security.ctocio.com.cn@www.3800hk.com这样的URL在IE6.0及其IE7.0中使用的话会提示语法错误,但是如果对方使用的是第三方浏栏器,比如Maxthon,腾讯TT,GreenBrowser的话依然可以欺骗,这对大家防范这类URL欺骗提供了一个思路。(图2)

错误提示

  图2

  2.设计代码,瞒天过海

  首先将以下几行html代码存为网页文件:

  <p><a id="qipian" href="http://www.google.com"></a></p>

  <div>

  <a href="http://www.baidu.com" target="_blank">

  >

  <caption>

  <label for="qipian">

  <u style="cursor;pointer;color;blue">

  www.baidu.com

  </u>

  </label>

  </caption>

  </table>

  </a>

  </div>

  以上的代码就是伪造一个超级链接,并为它设置了标签迷惑人,这就隐藏了真正所指向的网址。使用IE打开后,你会发现一个超级链接,把鼠标放在上面,鼠杯会变成手形,而左下角状态栏也会出现这个超级链接的网址,一切看起来是那么的正常。(图3)

URL欺骗

  图3

  但是当你点击上去就上当了,超级链接所指向的不是http://www.baidu.com而是http://www.google.com。(图4)

URL欺骗

  图4

  3.加密URL,暗渡陈仓

  上面两例URL欺骗只是简单的隐藏了它的真实目的地不够隐蔽,为此某些人想出了更好的方法来进行隐藏。这种隐藏就是对RUL地址进行加密或者数据转换。

  (1)IP地址十进制转换

  原理:

  由于某些原因(有可能是内部处理引起的),有的操作系统对IP地址的操作并不是通过我们常用的格式,就象是:aaa.bbb.ccc.ddd,而是相应的十进制数。

  实例:

  通过数据转换把像http://127.0.0.1/这类地址可以改写成十进制值的http://2130706433/,在浏览器中输入http://2130706433/你会发现你已经打开了http://127.0.0.1的主页面。(图5)

URL欺骗

  图5

  提示:以上操作在IE6.0测试无效,但在IE7.0中成功。奇怪,不知道微软是怎么考虑的。

  (2)IP地址点分八、十六进制加密

  由于十进制转换在IE6.0中测试不成功,而它又是浏览器的主流,因此上述方法有一定的局限性。于是有人就编写了加密程序,对IP地址进行点分八进制和点分十六进制的加密。(图6)

八、十六进制加密

  图6

  从图6中可以看到我们用点八分进制加密IP127.0.0.1的结果为http://0177.00.00.01/在浏览器中输入http://0177.00.00.01/ 会看到我们打开了127.0.0.1这个页面。(图7)

URL加密

  图7

  点分十六进制加密127.0.0.1后得到http://0x7F.0x0.0x0.0x1/ 在浏览器打开http://0x7F.0x0.0x0.0x1/ 会得到同样的结果。

  待加密URL可以为IP也可以为域名.这里我以http://security.ctocio.com.cn演示.点击加密后得到

  http://%73%65%63%75%72%69%74%79%2E%63%74%6F%63%69%6F%2E%63%6F%6D%2E%63%6E/

  在浏览器输入http://%73%65%63%75%72%69%74%79%2E%63%74%6F%63%69%6F%2E%63%6F%6D%2E%63%6E/打开的就是IT专家网安全子站的页面(图8)

URL加密

  图8

  三、防范措施

  URL欺骗的具体方式还有很多,但都不外乎在URL地址和网页代码上做文章,都是利用了网友们的疏忽大意,安全意识单薄的弱点。URL欺骗造成的危害是巨大的,轻则把你引导到挂马网页,让你中毒,重则通过钓鱼技术骗取你的机密信息。那么如何来防范URL欺骗呢?

  1.核实链接来源

  (1)对于银行发来的手机短信,应认真核实短信的来源,如涉及到账号问题要和银行进行电话确认。

  (2)对要求重新输入账号信息,否则将停掉信用卡账号之类的邮件不予理睬。

  (3)不要回复或者点击邮件的链接,如果你想核实电子邮件的信息,可以使用电话联系。

  (4)若想访问某个公司的网站,使用浏览器直接访问,输入网址前,有必要确认网址的来源。点击邮件中的链接、短信即时通信工具如QQ、MSN都是不可取的。

  (5)如果一个网址中含有“@”符号,应该意识到,一般网址是完全没有必要使用“@”符号的,因此不要使用这个网址。

  2、网上银行安全使用技巧

  一个简便的方法可帮你安全地使用网上银行,现以中国工商银行的网站为例进行介绍。

  进入网上银行后,在看到输入框时,不要急于输入信息,此时要检查IE是否启用加密链接(看看是不是有小锁的图标),并检查证书是否有效(双击小锁图标,打开“证书”界面,查看其有效期),最好还要检查证书是否与地址栏的地址相匹配(在“证书”界面中选择“证书路径”,并查看“证书路径”最后一项是不是与地址栏中的地址一致)。如果其中一项不符合,那么就要小心了。

  接下来,为了防止计算机中可能有木马窃取重要的信息,建议输入卡号与密码时采取如下方式:如卡号为“123456789”,密码为“654321”,输入卡号时先输入“567891234”,再利用剪切/复制功能改为正确的卡号。这样一来,记录键盘操作的木马也无法取得正确的卡号。

  提示:有的银行登录密码和取款密码可以设置为不同的密码,如果银行有这样的服务,请一定将取款密码与查询/登录密码设为不同密码,这样即使查询/登录密码泄漏,也不会影响资金安全。

  总结:本文对于URL欺骗的简单解析,目的是让大家认识到在超级链接中存在的URL欺骗,增强安全意识。毕竟安全是以人为本的,任何欺骗都是首先突破了人才得以实现的。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章