一.基础知识:
1.IRI
URI规定用字符作为资源标识符的符号,本意就是为了便于人类识别和交流,但是URI又规定只能使用英文字符,这显然不利于世界上大多数非英语国家和地区的人民。解决的办法是引入Unicode字符,因为Unicode字符集包括了当今世界上所有书写文字的字符,如果资源标识符可以使用Unicode字符,则世界上任何文字都可用来作为标识符号。这种引入Unicode字符的资源标识符称为国际化资源标识符(IRI)
2.URL构成
scheme://[user:password]@domain:port/path?query_string#fragsments
①协议②验证信息③域名④端口⑤路径⑥参数⑦Hash
二.基于url的欺骗攻击总结
1.字形欺骗钓鱼攻击
如:1和l,o和0的混淆
2.IRI字形欺骗攻击
利用不同语系的相似字形进行欺骗,如希腊字母(039F/03BF),西里尔字母(041E/043E),英文字母的Oo
3.自纠错与Unicode字符分解映射
浏览器对用户输入的url存在一定的纠正逻辑,(如http:/www.baidu.com会被纠正为http://www.baidu.com),此时一些unicode符号会被纠正为字母,例如0x33BA被纠正为’pw’
4.登录信息钓鱼攻击
使用url中的登陆信息假装成域名,例如http://baidu.com@bing.com
扫一扫
5万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
