@bit_think · Post #24 · 18.05.2023 г., 14:41
#think 使用新顶级域欺骗 本文实际上是翻译这篇文章。 Google 在早些时候推出了 zip. 和 mov. 等顶级域名 ,这两个域名分别意味着以 zip 为后缀的压缩包和以 mov 为后缀的视频。 问题就出在这里,攻击者可以设计一个精心制作的 URL 来欺骗你进入非预期的页面。 ★示例 https://github.com∕example∕example∕archive∕refs∕tags∕@release.zip (应跳转 Youtube) https://github.com/example/example/archive/refs/tags/release.zip (应显示 Not Found) ★为什么会这样 一个 URL 的构成是... https:// (协议) 用户名:密码@ (用户信息) 二级域.示例.中文 (域名) :11451 (端口) /路径 (路径) ?query=keyword (参数) #main (哪块儿) 拼起来就是 https://用户名:密码@二级域.示例.中文:11451/路径?query=keyword#main。 一些浏览器会忽略用户信息,让用户不会意外登录到某网站,直接进入这个 URL。 https://[email protected] 这个网址会把解析到 b.com。如果我们在@之前添加反斜杠就会解析 a.com,就像 https://a.com/[email protected]。 所以欺骗一个人只需要让一个网址看起来是带你到 a.com,但实则是带到 b.com。 根据一个 Chromium 的 bug。浏览器允许在地址栏使用 U+2044 (⁄) 和 U+2215 (∕),但不视作 U+002F (/) 正斜杠。 利用这点,我们假设有这样一个链接... https://github.com/example/example/archive/refs/tags/release.zip,只需要稍加改造,在 release.zip 前添加@并且全部换成 U+2215 (∕) 字符使浏览器认成用户信息,现在这个链接会指向 release.zip 域了。现在别人花了 $15 租用这个域名指向了 Youtube 的一个视频... https://github.com∕example∕example∕archive∕refs∕tags∕@release.zip ★预防 排查任何链接,尤其是带@的。 ★延伸阅读 The Dangers of Google’s .zip TLD 频道维护者引用链接的页面内容仅供参考,不代表维护者的立场。