我们检测到您可能使用 AdBlock 或者其他广告屏蔽插件,导致网页出现错位、变形以及丢失的情况,影响网站内容的阅读。
本站无任何商业广告!为了伍林堂平台的生存,恳请您能够理解,将伍林堂旗下交互产品加入白名单(方法点此),万分感谢!
网站优化

网站优化

首页 > 新闻资讯 > 网站优化 > 打开一个正经网址,却去了一个不可描述的网站,怎么回事?

打开一个正经网址,却去了一个不可描述的网站,怎么回事?

2018-04-21 热度:16492 ℃

文/李勤

浏览器的地址栏,是通往神秘赛博世界的一道门。

打开门,也许是你早已心仪已久的一家购物网站,也可能是一些你无法预料的场景:

  • 或是闪着红色小灯的发廊线上版

  • 或是各色骰子在飞舞旋转,向你招手

  • 或是一个简单的拒绝:404

你恍若闯入了一个神奇的大观园,不知道接下来的是一个人,还是一条狗,或者两者都是。

打开一个正经网址,却去了一个不可描述的网站,怎么回事? 网站优化 第1张

这绝不是一次你想要的惊险刺激的冒险,你以为这是小朋友突然翻了一次墙么?

赛博世界,我想要知道我在哪,我去哪。

腾讯玄武实验室技术专家徐少培说:“Google曾公开表示在现代浏览器中,地址栏是唯一可靠的指示器。”

这句话应该如何理解?通俗的来说就是,如果地址栏上出现了安全问题,后续所访问的Web页面,可信任的体系将全部崩塌。

雷锋网决定,先上个数据震撼一下你。

上周,Chrome 发布了最新的版本,在安全漏洞当中,其中有 16 个漏洞由外部人员提交。在这 16 个漏洞当中,中高危漏洞占了 12 个,获得了谷歌的漏洞奖励。在这 12 个漏洞当中,有 3 个漏洞是地址栏上的漏洞,也就是说,Chrome浏览器作为目前业界公认的最安全的浏览器,其中地址栏上的安全漏洞占比四分之一。

打开一个正经网址,却去了一个不可描述的网站,怎么回事? 网站优化 第2张

对浏览器厂商而言,不仅要消除软件中的缓冲区溢出,最大的安全挑战之一是如何帮助用户在上网时做出正确和安全的决策。

因此,浏览器厂商绞尽脑汁。

第一个指示灯:安全指示符

很久以前,浏览器厂商搞出了一个安全指示符,就像是一枚路标,告诉你前方是一片坦途还是沼泽丛林。

安全指示符琳琅满目。你可能在地址栏看到的是一把绿色的小锁,也可能是把灰色的大锁,或是一个“地球”。

打开一个正经网址,却去了一个不可描述的网站,怎么回事? 网站优化 第3张

HTTP 和 HTTPS 又不同,一边是白色符号,而另外一边可能是绿色符号。不同的符号究竟代表什么?这些符号背后有何深意?

2015 年,谷歌曾就此采访过 1329 人,尴尬的是,大部分人对于HTTPS这个指示符略有了解,看到有一个锁,就知道可能是加密或者是安全的问题。对于HTTP这个标识符,一些专家可能都不太明白是什么意思。

看到这里你应该高兴,看,你又比专家多懂了一点点。

打开一个正经网址,却去了一个不可描述的网站,怎么回事? 网站优化 第4张

当你点开这些各种各样的小符号,其实又打开了一片新天地:

打开一个正经网址,却去了一个不可描述的网站,怎么回事? 网站优化 第5张

内有更多对当前页面权限的设置,以及这个网站是否安全等选项。

第二个指示灯:URL

我们已经了解到在地址栏中安全指示符如何来标识当前网站的安全状态,它是一枚路标,而统一资源定位符(URL)才是地址栏中的真正主角,它告诉你在哪和你要去哪,相当于一张有定位的地图。

打开一个正经网址,却去了一个不可描述的网站,怎么回事? 网站优化 第6张

基本URL包含模式(或称协议)、服务器名称(或IP地址)、路径和文件名,如“协议://授权/路径?查询”。完整的、带有授权部分的普通统一资源标志符语法如下:协议://用户名:密码@子域名.域名.顶级域名:端口号/目录/文件名.文件后缀?参数=值#标志。

所谓协议,是有很多的:

http——超文本传输协议资源

https——用安全套接字层传送的超文本传输协议

ftp——文件传输协议

mailto——电子邮件地址

ldap——轻型目录访问协议搜索

file——当地电脑或网上分享的文件

news——Usenet新闻组

gopher——Gopher协议

telnet——Telnet协议

那么,这个URL 有哪些层面可以被黑客改造,导致你去了一个意想不到的地方?也许,我们可以反推一下,不至于着了道。

作为一个连续三次挖掘了chrome 浏览器地址栏漏洞的老司机,徐少培对攻击者可能伪造URL 的手段了如指掌:

1.这些协议在浏览器处理的时候都有可能出现问题。

2.多级域名时,浏览器地址可视空间很小,有可能把主机覆盖掉,而显示前面伪装的多级域名主机。

3.对于端口,目前默认的端口是空,或者是无符号 16 位。如果超过65535,比如说是 10000 的浏览器端口,如果是非数字ABCD端口会怎么处理呢?

4.Pathname,就是后面的目录,有可能会伪造成主机。

5.#号后,浏览器格式在字符串时可能会出现问题,

6.用户名和密码部分有可能会伪造成主机。

在了解完URL的各个参数后,徐少培给出了URL Spoof漏洞的详细的定义和说明。地址栏欺骗漏洞,伪造了Web最基本的安全边界,起源(orgin)。

打开一个正经网址,却去了一个不可描述的网站,怎么回事? 网站优化 第7张

“URL中的任何一个部分,都有可能成为触发地址栏欺骗(URL Spoof)漏洞的攻击向量。”

徐少培说。

打开一个正经网址,却去了一个不可描述的网站,怎么回事? 网站优化 第8张

比如,上述URL由一个四级域名构成,Pathname的路径伪造成了一个类域名的字符串。

在正确的地址栏中显示,不管 URL 有多长,地址栏可视空间有多少,都要把正确的源显示出来,这个 URL 中正确的源是evil.com。在前 5 个显示中,不管怎么变化,都显示了正确的源。

如果地址栏的显示逻辑是,只显示URL最左边或最右边,那么就会出现图中最后所示的这种地址栏欺骗情况。

第一个是显示了URL的最左边,只显示了多级域名的一部分;第二个的策略是,只显示了URL的最右边,显示的是URL的pathname部分。

这两种显示方式,都没有把真正的源显示出来evil.com,用户会认为当前访问的网站是的是login.your-bank.com。

老司机的三次连胜:Chrome 地址栏之困

事不过三,但是连续2016 年 6 月、 8 月、 10 月 三个最新版本的 Chrome 地址栏漏洞被徐少培找到,Chrome 不仅要面带笑容,还要给奖励。

就喜欢看到“看不惯我又干不掉我”的情节。

第一个漏洞: 3000 美元奖金

从奖金规格可以看出,这是一个比较“完美”的漏洞,所谓的完美就是,哎哟,两个悟空一模一样,根本分不出来谁是谁。

打开一个正经网址,却去了一个不可描述的网站,怎么回事? 网站优化 第9张

“漏洞呈现的最后攻击效果就是这样的,当用户点击了一个链接,到达了Gmail,但是这个 Gmail 的URL是由攻击者伪装的,页面也是由攻击者伪装的。

当你登录 Gmail ,输入用户名和密码时,你的信息就被攻击者获取到了。”

徐少培说。

轻而易举,不带一丝一毫的防备。

打开一个正经网址,却去了一个不可描述的网站,怎么回事? 网站优化 第10张

这个漏洞的原理如何实现?

打开一个正经网址,却去了一个不可描述的网站,怎么回事? 网站优化 第11张

当用户点击按钮时,打开了一个窗口页面,然后写下”key payload”,把这段关键代码单独拿出来,如图中用灰色来标识的关键代码。

打开一个正经网址,却去了一个不可描述的网站,怎么回事? 网站优化 第12张

发表评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

相关文章

全面解析 | 如何做好输出「需求文档」这件「小事」?

全面解析 | 如何做好输出「需求文档」这件「小事」?

Anyway,「方法只是思维层级里底层的事情」。最近一直在思考「输出需求文档」这件「小事」,发现太多产品经理连需求都没办法完全表达清楚,在需求评审会上支支吾吾,被各种挑战,或者开发阶段中多次重复确认,...

网站被百度K应该如何被重新收录

网站被百度K应该如何被重新收录

网站是2009年初时候上线的,当时迷茫也不知道做什么好,于是就选了个自己有兴趣方面的游戏资讯站。感觉地下城与勇士这款游戏人气不错。于是就选好关键词:DNF DNF加点 DNF签到三个关键词。同时也在A...

产品经理的势、道、法、术、器

产品经理的势、道、法、术、器

那些做出优秀产品的产品经理都有自己的一整套产品哲学,这种规律的总结和凝练是大量思考和践行结果,单单通过看书或演讲很难得到其精髓。“势、道、法、术、器”是极具中国特色的词汇,最早见于先秦,法家的集大成者...

这些文案技巧,都是一个在中央情报局待过的传奇人物告诉我的!

这些文案技巧,都是一个在中央情报局待过的传奇人物告诉我的!

文案界传奇人物约瑟夫·休格曼著作的《文案训练手册》是我刚开始接触文案时,就读过的一本书。 约瑟夫 ·休格曼是美国最有影响力,最多产的广告文案作家之一。 最神奇的是,他当时在德国待了 3...

站点用百度搜图做配图被告索赔?丨6个无版权图库免费分享

站点用百度搜图做配图被告索赔?丨6个无版权图库免费分享

做公众号怎么少得了配图?对90%的地方站新媒体编辑而言,文章配图除去活动现场实拍和网友提供,其他的配图基本上都来自百度了吧,当然,有些编辑可能有版权意识买了类似千图网摄图网等会员,但毕竟是少数。下午在...

内容分发三分天下?编辑、算法与社交

内容分发三分天下?编辑、算法与社交

作者:闫泽华先抛出个人的结论:编辑(中心人工主导)分发、算法(机器主导)分发、社交(离散人工主导)分发各有千秋。内容分发服务追求的是分发所能触及的远景,为了达成远景,就需要探寻每一种分发更合适的应用场...

偷龙转凤?!“凤凰新闻”诉“今日头条”不正当竞争,索赔 2000 万RMB

偷龙转凤?!“凤凰新闻”诉“今日头条”不正当竞争,索赔 2000 万RMB

站长之家(Chinaz.com)注:今日,北京海淀法院发布官微称:凤凰新闻起诉今日头条不正常竞争,并索赔 2000 万人民币。据悉,今日头条通过流量劫持方式“偷龙转凤”,将原本是访问凤凰网的部分流量跳...

IPv6,让每粒沙子都能被追踪

IPv6,让每粒沙子都能被追踪

温特·瑟夫在Google中国总部。 2007 年 3 月 1 日近日,中共中央办公厅、国务院办公厅印发了《推进互联网协议第六版(IPv6)规模部署行动计划》,明确提出到 2018 年末,中国的IPv6...

 
QQ在线咨询
公司总部
0513-66814553
战略合作
0513-86212895
本站会员尊享VIP特权,现在就加入我们吧!登录注册×
»
会员登录
新用户注册
×
会员注册
已有账号登录
×
请先 登录 再评论,若不是会员请先 注册