网站便捷导航 - 百度XML地图 - RSS 订阅 - 设为首页 - 加入收藏
您的当前位置:主页 > 更多商品 > 挂钩 > Unicode技巧让黑客隐藏网络钓鱼URL

Unicode技巧让黑客隐藏网络钓鱼URL

来源:乐趣网网页游戏 编辑:庭院听雨 时间:2019-08-13 点击:1607

这对您来说是一个挑战:您点击电子邮件中的链接,然后在https://аррӏе.com网站上找到自己的位置。您的浏览器显示绿色挂锁图标,确认它是安全连接;它旁边说“安全”,以增加保证。然而,你被钓鱼了。你知道吗?

答案就在那个网址中。它可能看起来像是“苹果”,但实际上是一堆西里尔字符:A,Er,Er,Palochka,即。安全证书是真实的,但它确认的是你与аррӏе.com的安全连接-它不会告诉你关于你是否连接到合法网站。

证明-概念领域由安全研究员徐东征(XudongZheng)整理,他希望通过注册和显示域名的方式来证明问题。很长一段时间,域名只能用拉丁字符编写,没有变音符号,但自1998年以来,它实际上也可以用其他字母表编写。如果您想要用中文或阿拉伯语脚本注册域名,或者只是正确拼写法语或德语,那么这很有用-任何可以用Unicode标准表示的东西都可以注册,甚至是表情符号-但它也开辟了一条全新的大道通过在其他类似于拉丁文字母的字母表中查找字符,恶意行为者可以利用误导。

“从安全角度来看,Unicode域名可能存在问题,因为很多Unicode字符很难与常见的ASCII字符,“郑写道。“可以注册诸如"xn--pple-43d.com"之类的域名,这相当于"аpple.com"。乍一看可能并不明显,但"pppple.com"使用西里尔文""(U+0430)而不是ASCII“a”(U+0041)。这被称为单应性攻击。“

有些浏览器会密切关注这些技巧,并在他们感觉到恶作剧时显示基础域名。一种常见的方法是拒绝任何包含多个字母的域名。但如果整个事情用同一个字母写成,那就不行了。

哪个是哪个?照片:Screengrab

Apple的Safari和微软的Edge仍然发现郑的恶搞域名是欺诈,但谷歌Chrome和MozillaFirefox没有,而是显示西里尔字母域名。尽管在Guardian的字体中显而易见,但这些浏览器使用的无衬线字体使两者无法区分。

郑说:“这个漏洞已于1月份报告给Chrome和Firefox2017年2月20日......Chrome团队已经决定将修复程序包含在Chrome58中,该修复程序应该在4月25日左右提供。“然而,Mozilla拒绝修复它,认为这是Apple要解决的问题:”遗憾的是责任域名所有者检查整个脚本的同形异义词并注册它们“。除了提到郑的博客文章之外,谷歌没有发表评论,Mozilla在发布时没有发表评论,但发言人后来说:“我们继续研究进一步解决视觉欺骗攻击的方法,这种攻击很难通过浏览器修复技术Imperva安全研究主管ItsikMantin说,当这种简单的攻击有效时,对网络用户的共同建议就会失败。“为了保护网站用户,强迫他们使用强密码并经常更换密码是不够的,因为在这种情况下防止攻击是完全无效的。

相反,他说,一种更好的方法是从假设网络钓鱼攻击成功开始:“网站管理员应该假设他们的一些用户的凭据被盗(几乎100%的情况都会被盗)是的,并采取适当的措施来识别帐户接管,如不正常的设备,不规则的地理位置或帐户中的异常活动。“

文章链接地址:http://www.emailele.com/gengduoshangpin/guagou/201908/1084.html

上一篇:拥有等离子电视的好处
下一篇:没有了

相关文章:

相关推荐:

猜你喜欢

Copyright © 2019 全红彩票app Inc.

Top