域名伪装

最新推荐文章于 2025-01-14 15:30:03 发布
最新推荐文章于 2025-01-14 15:30:03 发布
阅读量3.9k 收藏 8
点赞数 2
分类专栏: 安全 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/satasun/article/details/109427128
版权
博客指出浏览器解析URL时会默认丢掉前面内容这一不算漏洞的漏洞。黑客可利用此构造看似正常的URL,实际跳转挂马网站,还可将IP变为纯数字使恶意URL更隐蔽,存在较大安全隐患。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

参考链接

这里利用了一个不算漏洞的漏洞:
浏览器在解析URL的时候默认丢掉@前面的所有东西。

比如https://www.baidu.com@www.cnblogs.com/shenjuxian
不注意看的话会以为是百度的,其实跳转到了另一个网站,如果黑客在后面网站上挂马的话很容易就中招啦。

这里两个网址,看起来花里胡哨的,那如果后面跟一个ip呢:
https://www.baidu.com@111.229.229.111
看起来就稍微不那么显眼啦

ip中的点还是很难受,那就将它变为纯数字,计算方式如下:

111*256^3 + 229*256^2 + 229*256 + 111

然后得到
1877337455

然后构造url:https://www.baidu.com@1877337455
骚操作又学到了,大佬们太强了,这都能用起来。

Charles抓包工具系列文章(五)-- DNS spoofing (DNS域名伪装)
天草二十六
06-26 788
本文通过对baidu.com和localhost两个域名伪装,讲述了charles的DNS spoofing的配置及使用实践。
渗透系列:DNS欺骗的艺术 | 域名劫持和网页挂马
weixin_54626591的博客
01-23 157
DNS欺骗的艺术 | 域名劫持和网页挂马
urlRewrite实现网站伪装
kkkkkjava的博客
10-20 5012
为了访问方便,防止用户在url后乱加参数等安全原因,有时候需要对网站的访问路径进行伪装
渗透测试中的域名伪装
weixin_30273501的博客
04-29 895
今天在《网络渗透测试--保护网络安全的技术、工具、过程》一书中看到了一个关于对恶意链接进行域名伪装的方法,以前从不知道的一个方法,特此记录下来: 我们通常使用的都是以下这种格式的域名: www.example.com 浏览器在将域名发往dns服务器之前,会先对域名进行第一步处理,这里就涉及到一个隐含的知识:“@”符号 如果在浏览器地址栏中输入一个包含“@”符号的域名,浏览器在发送该...
如何做一个假的域名
weixin_30527551的博客
06-12 1257
在Tomcat的server.xml的配置中。我们可以修改port端口为浏览器默认端口80。这样做的好处是,当你在hosts中配置了如:127.0.0.1 www.oa.com的这样"ip-域名"解析键值对时。在浏览器上可直接访问该网址www.oa.com。 否则www.oa.com:8080还是跟端口的,这样看上去我们这个假域名做得就不是很美了。 当然,我们不能没事配它玩。主要的用途之一是:...
host模式(伪域名
wangfanna的博客
03-19 5198
在没有申请到域名的情况下,可以通过更改本机的host文件内,IP对应的英文名的形式,实现伪域名访问网站的功能。 第一步 找到本机hosts文件,路径一般为:C:\Windows\System32\drivers\etc,如图: 第二步 使用记事本的形式打开hosts文件。将原来的IP地址(127.0.0.1)对应的名字:localhost 修改为自己想要使用的名称即可。如图。 即可实...
linux域名伪装,基于 Nginx 的 v2+websocket+tls 域名伪装
weixin_39664560的博客
05-13 1839
记得删除括号里的内容懒得写教程了,就把代码过程发一下先是买域名,然后cloudflare解析域名、Linux重装系统:wget --no-check-certificate https://cloud.golby.cc/Shell/InstallNET.sh && chmod a+x InstallNET.sh乌班图18.04:bash InstallNET.sh -u 18.04...
php假域名,php 伪装来路域名
weixin_29050829的博客
03-26 648
域名注册服务 Domains域名注册是华为云提供的集域名查询,购买,续费,管理,转入/转出等功能于一体的域名服务,包含多种主流后缀域名,满足您各种建站诉求.com首购18元|.cn首购8.9元域名注册服务 Domain域名注册是华为云提供的集域名查询,购买,续费,管理,转入/转出等功能于一体的域名服务,包含多种主流后缀域名,满足您各种建站诉求AXYB模式解绑接口 AXYB模式绑定信息查询接口 获取...
网络安全学习笔记——域名伪装与URL跳转漏洞
just do it
11-10 2611
域名伪装是指通过技术手段,将域名伪装成与指定域名相同或相似的域名,达到或实现某种行为。
Python反爬虫伪装浏览器进行爬虫
09-17
- **Host**:请求的目标域名。 - **Cookie**:用于存储一些用户信息以便服务器识别用户身份。 #### 五、总结 通过上述介绍可以看出,伪装成浏览器进行爬虫不仅可以提高爬虫的成功率,还能有效降低被网站封禁的风险...
IP伪装,ip变换
10-29
Ip改造,当前IP变换,不会影响正常上网,打开就能用。
ts转码服务器系统,分发域名分摊cdn流量+ts伪装成图片格式使用免费cdn
weixin_42509796的博客
08-09 1569
最近cdn引起一股加速热潮,因为资金实力问题,中小网站往往很难承受高昂的CDN流量费用,但有一些免费或便宜的CDN(加速乐、百度CDN)可以提供css、js、html加速服务,但不支持视频文件格式的加速,所以把TS格式的视频文件伪装成JS,就显得很有必要了。应客户的需求,我们软件内部做了一个TS伪装设置,只需简单勾选即可把TS文件伪装成JS请求,避免CDN厂家的限制。可伪装成jpg gif ht...
Nginx怎么构建虚假域名?通过访问加假域名达到测试的目的
qq_38796548的博客
11-29 1536
在调试Nginx的时候,我们经常会遇到需要使用虚名来访问,如果我们能够使用虚假域名就可以操作很多东西啦! 方法步骤如下: 打开ifconfig查看ip地址,记住本机的ip地址 root权限下打开hosts文件vim /etc/hosts,并进行配置如下图: 之后可以在配置文件nginx.conf中使用文件该域名了:server_name url.test.com ...
没有域名怎么破?手把手教你如何通过hosts配置域名(假域名
Dai的博客
04-25 2619
【Daily Share】没有域名怎么破?手把手教你如何通过hosts配置域名(假域名
【邮件钓鱼】技术干货:从伪造域名到隐藏链接,攻防实战详解(中)
最新发布
fenfenfen520a的博客
01-14 714
0x01 前言 ★ 声明:未知攻焉知防,本文以安全教育为主,不可用于违法行为,造成的一切后果,与本人无关。 邮件伪造是信息安全中的常见手段之一,很多人在实践中因不了解核心原理而踩坑。本篇将结合实践经验,系统讲解邮件伪造的原理与操作方法。 如果对 SPF 和 DKIM 验证原理不熟悉,请先阅读上一篇:
电子邮件伪造
zy010101博客
03-18 9620
电子邮件伪造是指发送者故意篡改邮件头部信息,以使邮件看起来似乎是来自另一个人或组织的行为。这种行为可能用于欺骗、诈骗、垃圾邮件发送等目的。
谈论URL伪装
weixin_33705053的博客
07-25 271
在文章模糊的URL中,提供了各种URL地址的表示法,其实这就是常见的URL地址伪装的方法。一般而言,一个标准的URL地址格式[RFC1738,RFC1738中文]应该是这样的: schemes://<user>:<password>@<host>:<port>/<url-path> 前面的schemes可以包括如下协议:   ...
php如何伪装url,php防止伪造数据从地址栏URL提交的方法,伪造url_PHP教程
weixin_35202013的博客
03-10 533
php防止伪造数据从地址栏URL提交的方法,伪造url针对伪造的数据从URL提交的情况,首先是一个检查前一页来源的如下代码:这个方法只能防止手动在浏览器地址栏上输入的URL。事实上只要在服务器上构造出一个指向该URL的超链接(www.jb51.net)比如在发贴时加入超链,再点击,这个Check就完全不起作用了。目前觉得还是用POST的方法传递重要数据比较可靠。可以在form中插入一些隐藏的tex...
爬虫网页伪装代码(列表形式,可以直接使用)
Black_God1的博客
08-13 1875
[‘Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/35.0.3319.102 Safari/537.36’, ‘Mozilla/5.0 (Windows NT 4.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2049....
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值