所见非所得: 浅析同形异义词攻击及案例分析-黑客接单平台

访客5年前关于黑客接单473
自从 ICANN 二十多年前在域名(称为国际化域名或简称 IDN)中引进Unicode 以来,一系列全新的安全问题也随之浮出水面,一起还或许运用不同的字母和Unicode 字符注册域名。 在研讨依据同形异义词和 IDN的 *** 垂钓和其他进犯的可行性时,首要是在 web 运用浸透测验的布景下,咱们偶尔发现了一些古怪的事例,它们也影响了移动运用程序。然后咱们决议针对移动即时通讯东西打开查询,特别是那些面向安全的,查询这类缝隙的盛行程度。 这篇博客文章供给了关于同形异义进犯的扼要概述,强调了它的危险,并介绍了针对 Signal,Telegram 和 Tor Browser 的两种实践运用 *** 。这两种 *** 或许导致简直不或许被检测到的完美 *** 垂钓场景,也或许导致更强壮的运用 *** 以用来抵挡具有 *** 诈骗认识的方针。 什么是同形字和同形异义词? 在咱们日子中,碰见归于不同字母的字符却看起来相似的状况并不罕见,这些字符即被称为同形字符。有时这取决于它们刚好以视觉上难以区别的 *** 呈现,运用户无法区别它们之间的差异。 因为肉眼看'a'和'a'看起来是相同的(一个同形字) ,但前者归于拉丁文,后者归于西里尔字母。 可是关于未经练习的人类眼睛来说,很难区别这两者,它们或许被计算机列为两种彻底不同的解说。 同形异义词是两个看起来相同但实践上不同的字符串。 例如,英语单词"lighter"在写法上是相同的,但依据上下文的不同,它的意思也有所不同——它的意思可所以"焚烧的设备",也可所以名词,也可所以动词"heavy"的反义词。 字符串 blazeinfosec.com 和 blazeinfosec.com 常常作为同形字符呈现,但当转化为 URL 时会发生不同的成果。 同形字,以及扩展的同形字,存在于许多不同的文字之间。 例如,拉丁文、希腊文和西里尔字母共用许多字符,这些字符要么看起来彻底相似(例如,A 和 A) ,要么十分相似(例如,P 和P)。 Unicode 有一个文档,它考虑到了"易混杂"字符,这些字符在不同的脚本中具有相似的视觉感观。 字体烘托和同形字 如CVE-2019-4277和2019年4月由Xudong Zheng供给的示例所示,烘托字体的呈现 *** ,以及显现器中字体的巨细,同形字和同形异义词或许以不同的 *** 显现,也或许彼此之间没有彻底不同,这暴露了迄今为止针对 IDN 同形字所采纳的办法是缺乏的。 下面是用 Tahoma 字体显现的字符串 https://www.apple.com (拉丁文)和 https://www.аррӏе.com (西里尔字母) ,字体巨细为30: 下面是以 Bookman Old Style 字体显现的相同的字符串,巨细为30: 从它们呈现和显现的 *** 来看,Tahoma 好像没有区别这两者,没有为诈骗网站的用户供给任何视觉指示。 另一方面,Bookman Old Style 好像至少对'l'和'І'有不同的表现 *** ,给出了关于 URL 合法性的一个小小的视觉暗示。 国际化域名(IDN)和 punycode 跟着在首要操作体系和运用程序中对Unicode 的支撑的呈现,以及互联网在那些不一定运用拉丁文字母的国家中得到遍及,因特网称号与数字地址分配组织在1990年代末推出了之一个版别的互联网注册号(IDN)。 这意味着域名能够用其母语的字符来表明,而不是用 ASCII 字符来绑定。 可是,DNS 体系并不能了解 Unicode,因而需求一种习惯 ascii 专用体系的战略。 因而,创造 Punycode 是为了将包括 Unicode 符号的域名翻译成 ASCII 码,这样 DNS 服务器就能够正常工作了。 例如,ASCII 中的 https://www.blazeinfosec.com 和 https://www.blаzeinfosec.com 将是: · https://www.blazeinfosec.com · https://www.xn--blzeinfosec-zij.com 因为第二个 URL 中的'a'实践上是西里尔字母的'a',所以需求翻译成 Punycode。 注册同形异义词域名 在国际化域名开始版别一中,能够将 ASCII 和 Unicode 的组合注册到同一个域名中。 这显然是一个安全问题,而且自从选用 IDN 第二和第三版以来现已不再是这样了,该版别进一步约束了 Unicode 域名的注册。 最值得注意的是,它指示通用尖端域名制止注册包括混合脚本的域名(例如,同一字符串中的拉丁字符和日本汉字字符)。 虽然许多尖端域名注册商约束混合脚本,但历史上现已证明了在一个脚本中注册相似的域名的或许性—- 这是现在许多 gTLD 注册商所答应的做法。举个比如,apple.com 和 paypal.com 这两个域名都有西里尔同形异义词,曩昔被安全研讨人员注册为 *** 浏览器中同形异义词问题的概念证明。 洛根 · 麦克唐纳写了一个东西 ha-finder ,它能够查看排名前100万的网站,查看每个网站的字母是否与拉丁文或小数混杂,然后履行 WHOIS 查找,并告知你是否能够注册。 同形异义词进犯 虽然 ICANN 认识到了同形异义词进犯的潜在危险,可是自从 IDN 引进以来,之一批同形异义词在IDN诈骗被认为是在2005年被 Shmoo Group 的 3ric Johanson 发现的。 这个问题的细节在这个 Bugzilla 收据中有所描述,而且影响了其时许多其他的浏览器。 Unicode 同形异义词的另一个实现是针对 Spotify 的进犯,但与本文中描述的问题没有直接关系。在博客中,一位研讨人员发现因为依据 Unicode 的用户名在 ASCII 码中的转化和规范化不妥,导致进犯者能够直接接收用户账户。 最近,在野外发现了相似的针对加密钱银交易所 MyEtherWallet、Github 的用户的 *** 垂钓进犯, 2019年,苹果公司在 Safari 浏览器中修正了一个 bug名为 CVE-2019-4277 。腾讯实验室发现,在 URL 栏中输入了一个小写的拉丁字母'ꝱ' (dum),看起来与字符"d"一模相同。 不同的浏览器有不同的战略来处理 IDN。 依据装备,其间一些将显现 Unicode,以供给更友爱的用户体会。 他们也有不同的 IDN 显现算法。谷歌的 Chrome 浏览器的算法能够在这里找到。 它在注册域名的 gTLD 上履行查看,并验证字符是否在西里尔混杂字符列表中。[1][2]黑客接单网

相关文章

海外邮箱_网上黑客联系电话-微信同时登陆找黑客

「海外邮箱_网上黑客联系电话-微信同时登陆找黑客」所以沙盒环境是这类ctf必不可少的了,沙盒能够是近几年的docker,前几年的“虚拟主机”,或许仅仅粗陋的open_basedir,有总比没有强。 L...

我以前赌债输了四万,现在要还可是又不想还必经

0x02 影响范围本次漏洞时间线: 2019年5月14日微软官方发布了对远程桌面服务(Remote Desktop Services)的关键远程代码执行漏洞CVE-2019-0708的安全补丁,受影响...

怎么回事?是不是发太多了?我是有在群里赌博,怎

图1:进犯者的主页运用(CVE-2017-11774)3.运用暗码办理器来安排暗码,生成安全随机的暗码,主动登陆网站来维护数字财物和个人身份。 支撑无怎么回事?是不是发太多了?我是有在群里赌博,怎,...

我钱被朋友拿去赌博了这钱我还能收的回来吗

IP地址商业漏洞利用套件Canvas加入了CVE-2019-0708的漏洞利用模块Oracle WebLogic Server12.1.3.0.0我钱被朋友拿去赌博了这钱我还能收的回来吗, 漏洞描述+...

黑客接单网站源码_黑客工具包

message Session {3.1 东南亚区域电子邮件进犯因为许多用户安全意识缺乏,导致许多NDay缝隙被黑客使用进行进犯。 2018年,有多个勒索软件宗族经过Windows体系缝隙或Web使用...

怎么编写自己的Web日志剖析脚本

由于平常总是触摸Web日志,可是苦于Web日志量大,windows下无法直接翻开,linux下又得一个一个的去找,太费事,算是偷闲,第一次用shell指令写这个剖析脚本,边写边改整理了将近1个星期,必...