• 企业400电话
  • 微网小程序
  • AI电话机器人
  • 电商代运营
  • 全 部 栏 目

    企业400电话 网络优化推广 AI电话机器人 呼叫中心 网站建设 商标✡知产 微网小程序 电商运营 彩铃•短信 增值拓展业务
    打开一个正经网址 却看到了不成描述的网站
     

    浏览器的地址栏,是通往神秘赛博世界的一道门。

    打开门,也许是你早已心仪已久的一家购物网站,也可能是一些你无法预料的场景:

    或是闪着红色小灯的发廊线上版

    或是各色骰子在飞舞旋转,向你招手

    或是一个简单的拒绝:404

    你恍若闯入了一个神奇的大不雅观园,不知道接下来的是一个人,还是一条狗,或者两者都是。

    这绝不是一次你想要的惊险刺激的冒险,你以为这是小伴侣突然翻了一次墙么?

    赛博世界,我想要知道我在哪,我去哪。

    腾讯玄武实验室技术专家徐少培说,在现代浏览器中,地址栏是唯一可靠的指示器。

    如果地址栏上出现了问题,后续所见到的Web页面,可信任的体系将全部崩塌。

    雷锋网(公众号:雷锋网)决定,先上个数据震撼一下你。

    上周,Chrome发布了最新的版本,在安适漏洞傍边,其中有16个漏洞由外部人员提交。在这16个漏洞傍边,中高危漏洞占了12个,获得了谷歌的漏洞奖励。在这12个漏洞傍边,有3个漏洞是地址栏上的漏洞,也就是说,Chrome浏览器作为目前业界公认的最安适的浏览器,其中地址栏上的安适漏洞占比四分之一。

    如何帮手人们在上网的时候做出安适决策?浏览器厂商绞尽脑汁。

    于是,他们想出了一个措施。

    第一个指示灯:安适指示符

    很久以前,浏览器厂商搞出了一个安适指示符,就像是一枚路标,告诉你前方是一片坦途还是沼泽丛林。

    安适指示符琳琅满目。你可能在地址栏看到的是一把绿色的小锁,也可能是把灰色的大锁,或是一个“地球”。

    HTTP 和 HTTPS 又差别,一边是白色符号,而别的一边可能是绿色符号。

    差别的符号究竟代表什么?这些符号背后有何深意?你有没有思考过这个问题?

    不要悲痛,2015年,谷歌曾就此采访过1329人,尴尬的是,大部分人对于HTTPS 这个指示符略有了解,看到有一个锁,就知道可能是加密或者是安适的问题。对于HTTP这个标识符,包孕一些专家可能都不太明白是什么意思。

    看到这里你应该高兴,看,你又比专家多懂了一点点。

    当你点开这些各种各样的小符号,其实又打开了一片新天地:

    内有更多对当前页面权限的设置,包孕本身的设置,以及这个网站是否安适等选项。

    第二个指示灯:URL

    在地址栏挂上安适指示符是安适手段之一,它是一枚路标,而统一资源定位符(URL)才是地址栏的真正主角,告诉你,你在哪,要去哪,相当于一张有定位的地图。

    基本URL包罗模式(或称协议)、办事器名称(或IP地址)、路径和文件名,如“协议://授权/路径?查询”。完整的、带有授权部分的普通统一资源标识表记标帜符语法如下:协议://用户名:密码@子域名.域名.顶级域名:端标语/目录/文件名.文件后缀?参数=值#标识表记标帜。

    所谓协议,是有很多的:

    http——超文本传输协议资源

    https——用安适套接字层传送的超文本传输协议

    ftp——文件传输协议

    mailto——电子邮件地址

    ldap——轻型目录拜候协议搜索

    file——本地电脑或网上分享的文件

    news——Usenet新闻组

    gopher——Gopher协议

    telnet——Telnet协议

    那么,这个URL 有哪些层面可以被黑客改造,导致你去了一个意想不到的地方?也许,我们可以反推一下,不至于着了道。

    作为一个连续三次挖掘了chrome 浏览器地址栏漏洞的老司机,徐少培对攻击者可能伪造URL 的手段了如指掌:

    1、这些协议在浏览器处理的时候都有可能出现问题。

    2、多级域名时,浏览器地址可视为很小,可以把主机的覆盖掉,而显示前面伪装的多级域名主机。

    3、对于端口,目前默认的端口是空,或者是无符号16位。如果超过65535,好比说是1万的浏览器端口,如果是ABCD端口会怎么处理呢?

    4、Passname,就是后面的目录,有可能会伪造成主机。

    5、#号后,浏览器格式在字符串时可能会出现问题,User Name有可能会伪造成主机。

    “URL中的任何一个部分,都有可能成为触发地址栏欺诈(URL Spoof)漏洞的攻击向量。”徐少培说。

    好比,上述URL,由一个四级域名构成,Passname的路径伪造成了一个类域名的字符串。

    上一篇:“618”来临之际,阿里和京东上演“猫狗口水大战”
    下一篇:82岁日本老奶奶成最年长iOS码农:库克被她折服
  • 相关文章
  • 

    © 2016-2020 巨人网络通讯 版权所有

    《增值电信业务经营许可证》 苏ICP备15040257号-8

    打开一个正经网址 却看到了不成描述的网站 打开,一个,正经,网址,却看,