万花齐心网

原问题:google整了多少个新域名,让咱们距离收集诱骗更近了一步。随手注册一个域名放到网上,就能患上到极客们的夸夸? 这么个重大的事,就能让巨匠交口歌咏,着实是由于这哥们用自己的实际行动,抵抗了go

google整了多少个新域名,让咱们距离收集诱骗更近了一步。

原问题:google整了多少个新域名,整多咱们让咱们距离收集诱骗更近了一步 。少个收集

随手注册一个域名放到网上,新域就能患上到极客们的名让夸夸?

这么个重大的事 ,就能让巨匠交口歌咏  ,距离着实是诱骗由于这哥们用自己的实际行动,抵抗了google最近这个犯浑的更近操作 。 。整多咱们。少个收集

它凋谢了一个相似于 .com 、新域.cn 的名让顶级域名:

.zip 。

这波操作 ,距离搞患上咱们之后在网高下工具,诱骗谈天患上愈加留意了 。更近

尽管我信托巨匠如今不太会去网页端里下载工具,整多咱们但google这通操作完 ,指不定转头你就要吃瘪了 。

在聊这个全新的顶级域名前,托尼先来见告巨匠,这玩意事实可能动甚么四肢行动。

看看这两个链接有甚么差距:

看起来是否差未多少?

但着实,前一个是指向 Github 上一个名目里的某个软件缩短包 。

而后者前面那一大串都是障眼法 ,它真正指向的是一个叫做 v1271.zip 的网站  。

至于这网站里藏了啥玩意 ,那咱们可就不分明了 ,指不定便是个古早味钓鱼网站 。

总之便是一全部危害拉满 。

等等,这玩意看起来不是个 github 上的文件链接吗 ,奈何样成为了另一总体的钓鱼网址呢?

在碰头收集的时候 ,效率器会把 “https://” 以及 “@” 之间的内容给看成 用户的信息,而不是真正的网址 。

被看成网址的 ,是 “@” 前面的陆续串信息。

以是 https://[email protected] 这个网址着实碰头的是 bing.com  ,中间的 google.com 由于被‘ @ ’夹在中间所轻忽 。

可是假如咱们在 “@” 前面再加个 ‘ / ’ 正斜杠,电脑就会把正斜杠前面的内容看成网址道路的一部份。

重大来说,有 ‘ / ’的话 ,‘ @ ’就没用了。

举个例子,https : //google.com/[email protected] 这个网址就不会落在 Bing ,而是碰头到 Google 上。

这下下场就来了。

适才那个网站是奈何样做到 ,绕过这个限度的?显明它也有正斜杠啊 。

着实子细看能发现,这个正斜杠长的不太同样。由于在咱们罕用的字符列内外 ,有此外两个以及 / 颇为像的字符:

U+2215 ( ∕ )以及 U+2044 ( ∕ )

它们在 Chrome 浏览器中不被以为是真正的斜杠 ,也不像正斜杠那样,能让‘@ ’变没用  。

以是能耐实现一全部移花接木  ,让假网址变的很像真网址。

虽说 多看多少眼咱们可能发现这个假斜杠的宽度不太同样,而且子细看的话,会发现 Chrome 也对于着实碰头的网址用颜色做出了标识 。

可是呢 !在电子邮件里, @ ’的字号可能被配置到最小,来实现一个瞒天过海。

你品品下面这张图 。

来自外洋清静职员的测试

这便是它实现恶意侵略的方式。经由假的斜杠 + @ 字符的方式 ,将虚伪的. zip 域名给冒充成一个正规下载文件。

以是啊,对于google这波操作,我是真没整清晰。。。

这事患上追溯到 2023 年 5 月 15 号,google凋谢出了一批新的顶级域名( TLD )给巨匠注册 。

这些顶级域名就像是各个网站页面们的 “ 小区号 ” ,好比 .com、.org  、.cn 、.edu 这些都是。

互联网睁开了这么多年 ,巨匠对于网址的需要也贼多。为了能让巨匠都有饶富能用的网址,互联网经营商会提供林林总总的顶级域名来让巨匠置办 。

而在这回被放进去的顶级域名里 ,就有 . zip的身影(同时凋谢的尚有. dad.phd.prof.esq.foo.mov 这些 ) 。

之后,咱们就能注册种种以 zip 结尾的网址,好比说甚么 setup.zip 啊,前面提到的 v1271.zip 都是如斯。

本并吞这一步着实使命着实也还好 ,巨匠伙都是长于收集冲浪的能手 ,也不至于看到个网站就掀开了。

但坏就坏在,这玩意放网址里,长患上太像一个可能下载的缩短文件了,谁还没下过多少个 zip 装置包啊。

而且危害还不止如斯 。

这年头的软件们都喜爱给咱们输的 翰墨版网址,自动天生一个可能点击的超链接 ,以是它的危害功能再上一层 。

这就象征着,未来咱们在谈天、发邮件、找攻略的时候, 碰着的所有 XXX.zip 都可能酿成一个可能点击的链接 。

咱们就举个例子吧。想象一下咱们在找资源的时候,可能会看到盛意人这样介绍:

这种时候假如有人恶意注册了 download.zip这个域名的话,就会导致这段话里的 donwload.zip 酿成一个可能赶快点击的链接 。 。。

那万一途经的公共假如点击一下这个链接 , 掀开的工具可能就不是咱们想要的资源,而是一个恶意文件概况是网页 。

危害一全部拉满 。

以是,在这些本意利便巨匠的技术叠加之下 ,. zip 这个域名的危害性被再一次淘汰。

不外呢,这现着实也不是那末简略碰着的  ,而且网上也有良多大佬用这个域名做了良多专神思的使命 ,被迫当起了 “ 白衣骑士 ”  。

好比文章收尾里提到的夸夸 ,便是在谢谢一位叫 Alex 的大佬,他注册下来了 setup.zip 这个域名 ,用来张扬. zip 的危害性。

也有老哥为了让巨匠更直不雅的意见到 .zip 可能带来的危害,在自己的 zip 域名上妄想了一个模拟 WinRAR 的界面 。

你还别说 ,我感应这有鼻子有眼的页面还真的能骗到人

致使尚有酬谢了一劳永逸,做了一个 Chrome 插件,用来防止浏览器碰头. zip 以及. mov 域名 。

虽说对于咱们这样的互联网用户来说,去论坛上找质料的情景已经未多少了。

但不论若何 ,网上冲浪仍是要留意清静,不应点的链接不要瞎点。

也祝愿巨匠别以及我同样 ,被黑客一秒盗走了账号明码。。 。

撰文 :小陈 编纂:面线 美术  :焕妍 & 阳光

图片 、质料源头:

https://www.freedidi.com/9481.html

https://mrd0x.zip/index.html

File Manager

https://medium.com/@bobbyrsec/the-dangers-of-googles-zip-tld-5e1e675e59a5

https://www.reddit.com/r/progra妹妹ing/co妹妹ents/13fsvl5/the_zip_tld_sucks_and_it_needs_to_be_i妹妹ediately/?onetap_auto=true

https://www.wangan.com/p/11v75df801ff3176

https://www.alexanderjaeger.de/setup-zip/返回搜狐,魔难更多

责任编纂 :

访客,请您发表评论:

网站分类
热门文章
友情链接

© 2024. sitemap