[ 作者: Trans By F@tFox   添加時間: 2001-12-28 17:00:20 ]    By Razvan Peteanu (razvan.peteanu@home.com) for SecurityPortal.com  Trans By F@tFox (fatfox@yesky.com)  翻譯：fatfox  來源:綠色兵團bbs http://www.vertarmy.org/bbs/     URL結構     我們來仔細看看URLs和與其有關的安全含義。一種"有趣"的URL利用方式已被垃圾廣告投遞者發    現很長時間了，不過現在"KB"（Knowledge Base）欺騙和二月發表于Crypto-Gram的文章，已經    使得URL可以做更多的事。     雖然大部分Internet用戶把WWW地址或FTP同URLs聯繫起來，但Uniform Resource Locators（    URL，統一資源定位器）使用的更普遍一些。URLs的標準在RFC1738中規定，其中最普通的形式    定義為：  :  部分是網路協定名稱，部分被定義為：  //:@:/  其中只有部分是必須的。":"和"@"字元具有特殊的含義,從而伺服器可以解析完整的字串.如果    用戶名和密碼包含在URL中,部分只是從"@"字元後開始.看看在KB欺騙論及的例子:  http://www.microsoft.com&item=q209354@www.hwnd.net/pub/mskb/Q209354.asp  其中真正的主機是"www.hwnd.net"."www.microsoft.com"在這個URL中不過是個假的用戶名,伺    服器會忽略它.     雖然上面的例子是合乎語法的,但是卻可能引起同安全相關的問題.在Internet節點的終端,不是    網卡、Modems或電腦，而是人.他們有意識或無意識都應該考慮到螢幕上出現的東西是否值得信    任.     信任是最基本的安全評價.像上面例子那樣的帶有欺騙性的URL,利用了我們對常識中URLs格式的    信任.這種欺騙還利用了我們把主要注意力都集中到主要內容而不是URL地址(雖然有時URL可以    幫助我們判斷可信度)這個事實.SSL保護的站點,把一部分對可信度的判斷工作交給瀏覽器,瀏覽    器會比較帶有SSL認證資訊的域;另一方面,如果目的主機是虛構的,那麼僅僅依靠加密技術並不    能提供太多有用的評價.         隱藏     上面關於URL的分析只是簡單的隱藏了它的真實目的地.我們可以用更好的方法來進行隱藏.由於    某些原因(有可能是內部處理引起的),有的作業系統對IP位址的操作並不是通過我們常用的格式    ,就像是:aaa.bbb.ccc.ddd,而是相應的十進位數字.     上面這類地址可以改寫成十進位的值:aaa*256^3+bbb*256^2+cccc*256+ddd.這樣,3633633987就    是216.148.218.195(屬於www.redhat.com紅帽子公司).你可以在瀏覽器中輸入3633633987,你會    發現你已經來到了REDHAT公司的網站上.上面的操作可以使用IE5.X或者是Linux下的Lynx,但並    沒對其他作業系統進行測試,可能會相差很多.一些軟體會對你的輸入提示"非法的URLs",但你只    要用很少的軟體(包括常用的工具,如ping)進行測試,你就可以判斷出這個作業系統是否支援這    種URLs的使用方式.     如果該作業系統支援這種使用,那麼就可以通過構造如下的URL來製造更大的迷惑    :http://www.toronto.com:ontario@3633633987/,這個URL仍然指到REDHAT.因為很多的網站都    把HTTP的SessionID存在URL中,來代替使用Cookie,所以Internet使用者並不會注意URL中的數位    值,這樣上面構造的URL不會帶來任何懷疑.密碼部分可以省略,這樣    http://www.toronto.com@3633633987/的迷惑性更強.     現在,我們可以使用一些HTTP知識:anchor(錨)標記允許顯示的文本指到一個不是文本本身的連    接上,這樣我們可以把連接寫成http://www.toronto.com,然後把連接的文字設成錨,再把這個錨    連接到http://www.toronto.com@3633633987/上,是不是很危險,如果你點擊這個連接,依舊會把    你帶到REDHAT公司.     另一個對信任的利用是可信站點的間接定址提供的.很多知名網站通過如下格式的連接來記錄引    導訪問者來此的網址    :"http://www.thisisarespectablesite.com/outsidelinks/http://externalsite",在伺服器    端捕獲請求資訊後,再把用戶重定向到目標網站上.     這就使任何人都可以使用這種間接定址服務,通過與URL困惑組合使用,給欺詐性的URLs提供更多    的合法性.可以限制HTTP提交區域的輸入值,來避免非法的輸入,但很少有網站這麼做.     如果你覺著以上說的還不夠,哪你還可以利用Unicode編碼,把真實目的URL通過Unicode碼寫出,    再解析時會還原成真實目的.     上面的這些對於"知識淵博"的垃圾廣告製造者來說都不是新東西,但對於用來攻擊一般不會起疑    的用戶來說,還是非常有用的.        =============================================================================== 提醒您，貼錯文章可立即傳訊通知該版版主/站長/副站長協助處理，不要放著不管喔

實驗結果如下：(以www.kimo.com.tw 為例)

C:\>ping www.kimo.com.tw    Pinging tw.yahoo.com [202.1.237.21] with 32 bytes of data:    Reply from 202.1.237.21: bytes=32 time=70ms TTL=247
Reply from 202.1.237.21: bytes=32 time=60ms TTL=247
Reply from 202.1.237.21: bytes=32 time=70ms TTL=247
Reply from 202.1.237.21: bytes=32 time=70ms TTL=247    Ping statistics for 202.1.237.21:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 60ms, Maximum =  70ms, Average =  67ms    C:\>ping 3389123861    Pinging 202.1.237.21 with 32 bytes of data:    Reply from 202.1.237.21: bytes=32 time=70ms TTL=247
Reply from 202.1.237.21: bytes=32 time=70ms TTL=247
Reply from 202.1.237.21: bytes=32 time=70ms TTL=247
Reply from 202.1.237.21: bytes=32 time=70ms TTL=247    Ping statistics for 202.1.237.21:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 70ms, Maximum =  70ms, Average =  70ms    

=============================================================================== 提醒您，貼錯文章可立即傳訊通知該版版主/站長/副站長協助處理，不要放著不管喔 發表人 -