一聚教程网:一个值得你收藏的教程网站

热门教程

URL欺骗

时间:2022-06-30 09:18:41 编辑:袖梨 来源:一聚教程网

By Razvan Peteanu ([email protected]) for SecurityPortal.com
Trans By F@tFox (fatfox@)
翻译:fatfox
来源:绿色兵团bbs http://www.vertarmy.org/bbs/
URL结构
我们来仔细看看URLs和与其有关的安全含义。一种“有趣”的URL利用方式已被垃圾广告投递者发现很长时间了,不过现在“KB”(Knowledge Base)欺骗和二月发表于Crypto-Gram的文章,已经使得URL可以做更多的事。
虽然大部分Internet用户把WWW地址或FTP同URLs联系起来,但Uniform Resource Locators(URL,统一资源定位器)使用的更普遍一些。URLs的标准在RFC1738中规定,其中最普通的形式定义为:
:
部分是网络协议名称,部分被定义为:
//:@:/
其中只有部分是必须的。":"和"@"字符具有特殊的含义,从而服务器可以解析完整的字符串.如果用户名和密码包含在URL中,部分只是从"@"字符后开始.看看在KB欺骗论及的例子:
http://[email protected]/pub/mskb/Q209354.asp
其中真正的主机是"www.hwnd.net"."www.microsoft.com"在这个URL中不过是个假的用户名,服务器会忽略它.
虽然上面的例子是合乎语法的,但是却可能引起同安全相关的问题.在Internet节点的终端,不是网卡、Modems或计算机,而是人.他们有意识或无意识都应该考虑到屏幕上出现的东西是否值得信任.
信任是最基本的安全评价.像上面例子那样的带有欺骗性的URL,利用了我们对常识中URLs格式的信任.这种欺骗还利用了我们把主要注意力都集中到主要内容而不是URL地址(虽然有时URL可以帮助我们判断可信度)这个事实.SSL保护的站点,把一部分对可信度的判断工作交给浏览器,浏览器会比较带有SSL认证信息的域;另一方面,如果目的主机是虚构的,那么仅仅依靠加密技术并不能提供太多有用的评价.
隐藏
上面关于URL的分析只是简单的隐藏了它的真实目的地.我们可以用更好的方法来进行隐藏.由于某些原因(有可能是内部处理引起的),有的操作系统对IP地址的操作并不是通过我们常用的格式,就象是:aaa.bbb.ccc.ddd,而是相应的十进制数.
上面这类地址可以改写成十进制的值:aaa*256^3+bbb*256^2+cccc*256+ddd.这样,3633633987就是216.148.218.195(属于www.redhat.com红帽子公司).你可以在浏览器中输入3633633987,你会发现你已经来到了REDHAT公司的网站上.上面的操作可以使用IE5.X或者是Linux下的Lynx,但并没对其他操作系统进行测试,可能会相差很多.一些软件会对你的输入提示"非法的URLs",但你只要用很少的软件(包括常用的工具,如ping)进行测试,你就可以判断出这个操作系统是否支持这种URLs的使用方式.

热门栏目