阿七 发表于 2008-8-19 11:29:57

[原创-阿七打造,必属精品]关于URL欺骗所想到的

今天早上,休息的时候随便到请网上找了几个歌听,后来莫名其妙的就中毒了,后来查看浏览记录,发现是中了URL欺骗的招.
回头想想,在我们的电子商务网站上也是可以利用起来的.
一般我们测试安全方面测试的少,有的朋友没有学过黑客技术,SQL注入,漏洞扫描什么的都不是很清楚,
所以在以后的时间里,多发出来些关于安全方面的测试文档.知道了原理,掌握起来就轻松很多啦.针对性的测试会使你发现更多的BUG.o(∩_∩)o...
今天先来了解下          (((((URL欺骗)))))


我叫URL,即“Uniform Resource Locators”,意思是统一资源定位器。地址栏中的网址就属于我URL的一种表达方式。基本上所有访问网站的朋友都会使用到我,所以我的作用是很大的。也许很多朋友都不知道,我可是很会骗人的。特别是有一群自称黑客的家伙很喜欢让我欺骗你们,趁你们不留心,就让我带你进入植入了木马的网页。所以我今天要大胆的自揭其短,让你们看清我,千万不要被那些黑客利用我把你们给欺骗了。

说谎:URL欺骗的惯用招式

利用我URL骗人的方法有很多种,比如起个具有诱惑性的网站名称或使用易混的字母数字掉包进行银行网络钓鱼,还有漏洞百出的“%30%50”之类的Unicode编码等等。但是利用我骗人最惯用的招式莫过于以下两个:

1.@标志过滤用户名的解析

本来@标志是E-mail地址的用户名与主机的分隔符,但在我URL中同样适用,而且功能如出一辙。HTTP(超文本传输协议)规定了我URL的完整格式是“Http://Name:Password@IP地址或主机名”,其中的“IP地址或主机名”是必填项。@标志与其前面的“Name:Password”,意为“用户名:密码”,属于可选项。也就是说,在我URL中真正起解析作用的网址是从@标志后面开始的,这就是欺骗原理。

举例:某QQ好友发给你一个说是有最新大片免费下载的地址 “Http://www.sohu.com@www.Trojan.com.cn/HuiGeZi_Server.exe”,你敢上去就点吗?的确,一眼看上去是“www.sohu.com”搜狐网站的链接,而实际上这儿的“www.sohu.com”只是个写成搜狐网址形式的用户名(此处的密码为空),因为后面有@标志。而真正链接的网址却是“www.Trojan.com.cn/HuiGeZi_Server.exe”(这儿为了好理解,我杜撰了一个木马网站,其下有“灰鸽子”服务端),只要大家点击就会被种下木马。这个发来的URL地址其实完全等同于“Http:// www.Trojan.com.cn/HuiGeZi_Server.exe”,而与前面的用户名毫无关系,只是迷惑性可就大大提高了。即使没有这个用户名,也完全不影响浏览器对URL的解析。大家要是不信,就在地址栏中随便写上个像是“Http://abcdefg@www.sohu.com”之类的地址再回车试试,还是照样儿进入搜狐网站。

2.十进制的IP地址

常见的IP地址包括四个字节,一般表示形式为“xxx.xxx.xxx.xxx”(x表示一个十进制数码),例如“61.135.132.12”。因为纯粹的数字IP地址过于抽象、难以记忆,所以采用域名服务DNS来与之对应。大家在浏览器地址栏中输入“Http://www.sohu.com”与“Http://61.135.132.12”的结果完全一样,都是访问搜狐网站,因为61.135.132.12就是搜狐域名www.sohu.com的IP地址。不过,如果再试试“Http://1032291340”的话,结果一定会让许多人吃惊,因为仍然打开了搜狐网站!

为什么一个十进制数“1032291340”等同于一个IP地址“61.135.132.12”呢?其实我刚才已经暗示过大家了,四位点分十进制形式的IP地址“61.135.132.12”代表一组32位二进制数码,如果合在一起再转换成一个十进制数的话,答案就是1032291340。转换方法很简单,就是数制的按权展开:12×2560+132×2561+135×2562+61×2563=12+33792+8847360+1023410176=1032291340(基数为256,即28)。

明白了这个道理,大家再回头看看刚才例子中的“www.Trojan.com.cn/HuiGeZi_Server.exe”。如果说这种字母域名还会露出一截狐狸尾巴的话,那么当把它对应的IP地址(假设为“61.135.132.13”)换算成一个十进制数,结果是1032291341,再结合@标志过滤用户的解析,欺骗性就又上了一个台阶——Http://www.sohu.com@1032291341。此时,还会有多少人会怀疑这个URL不是搜狐呢?

防范:查源代码法防范URL欺骗

我URL欺骗的功夫还是有点厉害的(典型的自吹自擂),但是大家还是可以防范的。其实,对付这些利用我URL去欺骗引诱人上当的恶意网页,只须一个最简单的招数即可奏效,那就是查看网页的源代码。当然,这需要有一点儿网页代码阅读的能力。

假设有人发给你一个的URL地址——Http://www.…….com而事先你又不知道它是否为URL欺骗的话,只须在浏览器地址栏中输入“View-Source:Http://www.…….com”并回车,系统就会调用记事本来打开这个网页的源代码。接下来就是在其中搜索一下(可使用“编辑→查找”菜单)有没有像是Format或者有<iframe src="ww.…….htm" name="……" width="0" height="0" frameborder="0">之类的危险编码。如果有的话当然要拒绝访问了。

carry1986 发表于 2008-10-29 16:11:19

学习....
那个IP的算法不是很清楚,能详细说一下吗?


谢谢....:lol

阿七 发表于 2008-10-31 10:50:34

原帖由 carry1986 于 2008-10-29 16:11 发表 http://bbs.51testing.com/images/common/back.gif
学习....
那个IP的算法不是很清楚,能详细说一下吗?


谢谢....:lol


是 这段吗?   
为什么一个十进制数“1032291340”等同于一个IP地址“61.135.132.12”呢?其实我刚才已经暗示过大家了,四位点分十进制形式的IP地址“61.135.132.12”代表一组32位二进制数码,如果合在一起再转换成一个十进制数的话,答案就是1032291340。转换方法很简单,就是数制的按权展开:12×2560+132×2561+135×2562+61×2563=12+33792+8847360+1023410176=1032291340(基数为256,即28)。

因为IP 是由4个 8位的二进制 组成的嘛    所有

把 61.135.132.12看成为4段   每一段的基数为2的8次方(8位嘛)
SO   61.135.132.12 = 61*256的3次方+135*256的2次方+132*256的1次方+12*256的0次方=12+33792+8847360+1023410176=1032291340

hankliu520 发表于 2008-11-12 16:16:12

请教个问题,
“像是Format或者有<iframe src="ww.…….htm" name="……" width="0" height="0" frameborder="0">之类的危险编码”
这里的代码为什么是危险代码?
如何看哪些是危险代码?
谢谢!

阿七 发表于 2008-11-12 21:47:33

原帖由 hankliu520 于 2008-11-12 16:16 发表 http://bbs.51testing.com/images/common/back.gif
请教个问题,
“像是Format或者有之类的危险编码”
这里的代码为什么是危险代码?
如何看哪些是危险代码?
谢谢!

对于这个问题你可以看看这个http://baike.baidu.com/view/964150.htm
因为它类似于弹出窗口一样可以直接跳转下载
所以就是危险代码   呵呵

hankliu520 发表于 2008-11-12 22:02:39

原帖由 阿七 于 2008-11-12 21:47 发表 http://bbs.51testing.com/images/common/back.gif


对于这个问题你可以看看这个http://baike.baidu.com/view/964150.htm
因为它类似于弹出窗口一样可以直接跳转下载
所以就是危险代码   呵呵
非常感谢!最近公司在搞安全性测试,公司里买了套HP的ISS扫描软件,不过只有这个感觉不够啊,只能扫描些系统漏洞之类的,针对系统的,能点播下应该如何才能真正进行安全性测试呢?
能推荐一些常用工具、方法、或者好点的网站?
想考相关认证也没有什么好的,都是培训3~4天,给个证书的。
日本倒是有相关方面认证,不过很难!
再次感谢!

[ 本帖最后由 hankliu520 于 2008-11-12 22:13 编辑 ]

阿七 发表于 2008-11-14 10:17:13

这个问题 我想 你可以考虑下专门的 安全认证结构不是培训你的那种 而是你们叫他们检测你们的产品或者网站 然后出一份详细的诊断报告 然后再针对结果出一份应对方案
毕竟他们更专业 手段会规范和流程化一点
只是我的个人建议呵呵

阿七 发表于 2008-11-14 10:19:26

网站的话    黑客基地天下网管同盟   都还不错
技术,软件,帖子更新蛮快的
比较有名的黑客 会有他们的博客和帖子谈论新发现的漏洞   新更新的黑软   新的破解方法和视频
可以看看

yuyunlu 发表于 2008-12-9 16:47:22

什么样的URL是相对安全的?现在公司开发的产品,URL中都是带功能模块名称的。

yuyunlu 发表于 2008-12-9 17:01:53

LZ好厉害,菜鸟敬礼了。:loveliness:

tommyxu 发表于 2008-12-12 10:46:11

lz确实高于我的水平,像lz学习

默默巫 发表于 2008-12-12 11:26:29

平时找资料的时候也老点到木马网站,学习下哈哈。

lza945 发表于 2009-6-17 17:35:09

楼主,我用http://www.sohu.com@www.baidu.com,应该能进百度对吧,但是浏览器显示是语法错误。请楼主指正

阿七 发表于 2009-6-18 09:28:03

你换个浏览器试试   你的IE 可能设置了一些限制

看我的截图   是会跳转的

阿七 发表于 2009-6-18 09:31:10

还得看下 @是全角 还是半角    呵呵

shengwenxun 发表于 2009-6-20 23:09:53

:kiss:

ljonathan 发表于 2009-8-22 23:08:31

我的@ 也失败了
view-source:也失败了

不过呢,还是学习了,
楼主蛮有研究的嘛,向你学习

yzylion 发表于 2009-8-24 00:02:21

楼主的方法在IE中是不能重现的,你可以换一个浏览器试一试,比如:firefox

houzeal 发表于 2009-8-24 14:41:26

学习了 :handshake

南翔塞燕 发表于 2009-9-18 16:08:29

学习!!!
页: [1] 2
查看完整版本: [原创-阿七打造,必属精品]关于URL欺骗所想到的