扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
打开浏览器,输入网址、点击链接可以算是我们上网时最频繁的操作了。但你有没有想过,我们瞅准点击的链接后面也许藏着一个不可告人的秘密,将把你带入一个“万劫不复”的境地;或者你深信不疑地点击进入的网上银行也许是个钓鱼网站!这就是传说中的URL欺骗,也许你没有经历过,或者正在经历者,或曾深受其害。这一切,让我们感叹“眼见为虚”。下面我们一起来解析一下URL欺骗。
一、原理
1.前置知识
URL是全球资源定位符的英文缩写,就是我们平常称之为的超级链接。
其最普通的形式定义为:
<scheme>:<scheme-specific-part>
<scheme>部分是网络协议名称,
<scheme-specific-part>部分被定义为:
//<user>:<password>@<host>:<port>/<url-path>
其中只有部分是必须的. ":"和"@"字符具有特殊的含义,从而服务器可以解析完整的字符串.如果用户名和密码包含在URL中,部分只是从"@"字符后开始。真是基于这一定义,URL欺骗就在//<user>:<password>不符做文章,进行欺骗,受害者多是那些对网络了解不够深入或足粗心大意之人。
2.实例印证
我们来看“http://www.microsof.com:gslw@test.com/”这个网址,表面上似乎指向的是微软的网站,但事实它将不会指向到微软的网站,而是指向“@”后面的test.com网站。(图1)
图1
二、解析URL欺骗伎俩
1.简单伪装,偷梁换柱
通过在线交流工具或者邮箱告诉别人一个伪装的URL地址,如果不注意就会中招。
比如http://security.ctocio.com.cn@www.3800hk.com这个URL地址,其中真正的主机是"www.3800hk.com"."security.ctocio.com.cn"在这个URL中不过是个假的用户名,服务器会忽略它,最终打开的页面是www.3800hk.com由于前面的地址为security.ctocio.com.cn因为大家都知道这个站,比较信赖于它,所以这起了个很好的欺骗作用。
提示:http://security.ctocio.com.cn@www.3800hk.com这样的URL在IE6.0及其IE7.0中使用的话会提示语法错误,但是如果对方使用的是第三方浏栏器,比如Maxthon,腾讯TT,GreenBrowser的话依然可以欺骗,这对大家防范这类URL欺骗提供了一个思路。(图2)
图2
2.设计代码,瞒天过海
首先将以下几行html代码存为网页文件:
<p><a id="qipian" href="http://www.google.com"></a></p>
<div>
<a href="http://www.baidu.com" target="_blank">
>
<caption>
<label for="qipian">
<u style="cursor;pointer;color;blue">
www.baidu.com
</u>
</label>
</caption>
</table>
</a>
</div>
以上的代码就是伪造一个超级链接,并为它设置了标签迷惑人,这就隐藏了真正所指向的网址。使用IE打开后,你会发现一个超级链接,把鼠标放在上面,鼠杯会变成手形,而左下角状态栏也会出现这个超级链接的网址,一切看起来是那么的正常。(图3)
图3
但是当你点击上去就上当了,超级链接所指向的不是http://www.baidu.com而是http://www.google.com。(图4)
图4
3.加密URL,暗渡陈仓
上面两例URL欺骗只是简单的隐藏了它的真实目的地不够隐蔽,为此某些人想出了更好的方法来进行隐藏。这种隐藏就是对RUL地址进行加密或者数据转换。
(1)IP地址十进制转换
原理:
由于某些原因(有可能是内部处理引起的),有的操作系统对IP地址的操作并不是通过我们常用的格式,就象是:aaa.bbb.ccc.ddd,而是相应的十进制数。
实例:
通过数据转换把像http://127.0.0.1/这类地址可以改写成十进制值的http://2130706433/,在浏览器中输入http://2130706433/你会发现你已经打开了http://127.0.0.1的主页面。(图5)
图5
提示:以上操作在IE6.0测试无效,但在IE7.0中成功。奇怪,不知道微软是怎么考虑的。
(2)IP地址点分八、十六进制加密
由于十进制转换在IE6.0中测试不成功,而它又是浏览器的主流,因此上述方法有一定的局限性。于是有人就编写了加密程序,对IP地址进行点分八进制和点分十六进制的加密。(图6)
图6
从图6中可以看到我们用点八分进制加密IP127.0.0.1的结果为http://0177.00.00.01/在浏览器中输入http://0177.00.00.01/ 会看到我们打开了127.0.0.1这个页面。(图7)
图7
点分十六进制加密127.0.0.1后得到http://0x7F.0x0.0x0.0x1/ 在浏览器打开http://0x7F.0x0.0x0.0x1/ 会得到同样的结果。
待加密URL可以为IP也可以为域名.这里我以http://security.ctocio.com.cn演示.点击加密后得到
http://%73%65%63%75%72%69%74%79%2E%63%74%6F%63%69%6F%2E%63%6F%6D%2E%63%6E/
在浏览器输入http://%73%65%63%75%72%69%74%79%2E%63%74%6F%63%69%6F%2E%63%6F%6D%2E%63%6E/打开的就是IT专家网安全子站的页面(图8)
图8
三、防范措施
URL欺骗的具体方式还有很多,但都不外乎在URL地址和网页代码上做文章,都是利用了网友们的疏忽大意,安全意识单薄的弱点。URL欺骗造成的危害是巨大的,轻则把你引导到挂马网页,让你中毒,重则通过钓鱼技术骗取你的机密信息。那么如何来防范URL欺骗呢?
1.核实链接来源
(1)对于银行发来的手机短信,应认真核实短信的来源,如涉及到账号问题要和银行进行电话确认。
(2)对要求重新输入账号信息,否则将停掉信用卡账号之类的邮件不予理睬。
(3)不要回复或者点击邮件的链接,如果你想核实电子邮件的信息,可以使用电话联系。
(4)若想访问某个公司的网站,使用浏览器直接访问,输入网址前,有必要确认网址的来源。点击邮件中的链接、短信即时通信工具如QQ、MSN都是不可取的。
(5)如果一个网址中含有“@”符号,应该意识到,一般网址是完全没有必要使用“@”符号的,因此不要使用这个网址。
2、网上银行安全使用技巧
一个简便的方法可帮你安全地使用网上银行,现以中国工商银行的网站为例进行介绍。
进入网上银行后,在看到输入框时,不要急于输入信息,此时要检查IE是否启用加密链接(看看是不是有小锁的图标),并检查证书是否有效(双击小锁图标,打开“证书”界面,查看其有效期),最好还要检查证书是否与地址栏的地址相匹配(在“证书”界面中选择“证书路径”,并查看“证书路径”最后一项是不是与地址栏中的地址一致)。如果其中一项不符合,那么就要小心了。
接下来,为了防止计算机中可能有木马窃取重要的信息,建议输入卡号与密码时采取如下方式:如卡号为“123456789”,密码为“654321”,输入卡号时先输入“567891234”,再利用剪切/复制功能改为正确的卡号。这样一来,记录键盘操作的木马也无法取得正确的卡号。
提示:有的银行登录密码和取款密码可以设置为不同的密码,如果银行有这样的服务,请一定将取款密码与查询/登录密码设为不同密码,这样即使查询/登录密码泄漏,也不会影响资金安全。
总结:本文对于URL欺骗的简单解析,目的是让大家认识到在超级链接中存在的URL欺骗,增强安全意识。毕竟安全是以人为本的,任何欺骗都是首先突破了人才得以实现的。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者