#think 使用新顶级域欺骗
本文实际上是翻译这篇文章。
Google 在早些时候推出了 zip. 和 mov. 等顶级域名 ,这两个域名分别意味着以 zip 为后缀的压缩包和以 mov 为后缀的视频。
问题就出在这里,攻击者可以设计一个精心制作的 URL 来欺骗你进入非预期的页面。
★示例
(应跳转 Youtube)
(应显示 Not Found)
★为什么会这样
一个 URL 的构成是...
https:// (协议)
用户名:密码@ (用户信息)
二级域.示例.中文 (域名)
:11451 (端口)
/路径 (路径)
?query=keyword (参数)
#main (哪块儿)
拼起来就是
一些浏览器会忽略用户信息,让用户不会意外登录到某网站,直接进入这个 URL。
https://a.com@b.com 这个网址会把解析到 b.com。如果我们在@之前添加反斜杠就会解析 a.com,就像 https://a.com/path@b.com。
所以欺骗一个人只需要让一个网址看起来是带你到 a.com,但实则是带到 b.com。
根据一个 Chromium 的 bug。浏览器允许在地址栏使用 U+2044 (⁄) 和 U+2215 (∕),但不视作 U+002F (/) 正斜杠。
利用这点,我们假设有这样一个链接...
★预防
排查任何链接,尤其是带@的。
★延伸阅读
The Dangers of Google’s .zip TLD
频道维护者引用链接的页面内容仅供参考,不代表维护者的立场。
本文实际上是翻译这篇文章。
Google 在早些时候推出了 zip. 和 mov. 等顶级域名 ,这两个域名分别意味着以 zip 为后缀的压缩包和以 mov 为后缀的视频。
问题就出在这里,攻击者可以设计一个精心制作的 URL 来欺骗你进入非预期的页面。
★示例
https://github.com∕example∕example∕archive∕refs∕tags∕@release.zip(应跳转 Youtube)
https://github.com/example/example/archive/refs/tags/release.zip(应显示 Not Found)
★为什么会这样
一个 URL 的构成是...
https:// (协议)
用户名:密码@ (用户信息)
二级域.示例.中文 (域名)
:11451 (端口)
/路径 (路径)
?query=keyword (参数)
#main (哪块儿)
拼起来就是
https://用户名:密码@二级域.示例.中文:11451/路径?query=keyword#main。一些浏览器会忽略用户信息,让用户不会意外登录到某网站,直接进入这个 URL。
https://a.com@b.com 这个网址会把解析到 b.com。如果我们在@之前添加反斜杠就会解析 a.com,就像 https://a.com/path@b.com。
所以欺骗一个人只需要让一个网址看起来是带你到 a.com,但实则是带到 b.com。
根据一个 Chromium 的 bug。浏览器允许在地址栏使用 U+2044 (⁄) 和 U+2215 (∕),但不视作 U+002F (/) 正斜杠。
利用这点,我们假设有这样一个链接...
https://github.com/example/example/archive/refs/tags/release.zip,只需要稍加改造,在 release.zip 前添加@并且全部换成 U+2215 (∕) 字符使浏览器认成用户信息,现在这个链接会指向 release.zip 域了。现在别人花了 $15 租用这个域名指向了 Youtube 的一个视频...https://github.com∕example∕example∕archive∕refs∕tags∕@release.zip★预防
排查任何链接,尤其是带@的。
★延伸阅读
The Dangers of Google’s .zip TLD
频道维护者引用链接的页面内容仅供参考,不代表维护者的立场。
#forward #think
https://www.bumingbai.net/2023/05/ep-048-program-think/
这个频道命名为“比特随想”,灵感就是来自编程随想。
编程随想中之人阮晓寰于 2021 年 5 月 10 日被捕。向简体中文互联网先锋敬礼,保持独立思考。
频道维护者引用链接的页面内容仅供参考,不代表维护者的立场。
https://www.bumingbai.net/2023/05/ep-048-program-think/
这个频道命名为“比特随想”,灵感就是来自编程随想。
编程随想中之人阮晓寰于 2021 年 5 月 10 日被捕。向简体中文互联网先锋敬礼,保持独立思考。
频道维护者引用链接的页面内容仅供参考,不代表维护者的立场。
👏2👍1
#accelerate Vocaloid 音乐被大陆自媒体痛批“合成音”、“毒音乐”。
★延伸阅读
https://www.bilibili.com/video/av826194789
频道维护者引用链接的页面内容仅供参考,不代表维护者的立场。
★延伸阅读
https://www.bilibili.com/video/av826194789
频道维护者引用链接的页面内容仅供参考,不代表维护者的立场。
👍1
#accelerate 德国之声发文称中华人民共和国福建省开始采取仅允许白名单上的网站可被访问。频道主先前了解到部分站长表明很早之前就有这个麻烦了,所以在此文章(德国之声)发表很久以前就采取了白名单制度。
★延伸阅读
德国之声
频道维护者引用链接的页面内容仅供参考,不代表维护者的立场。
★延伸阅读
德国之声
频道维护者引用链接的页面内容仅供参考,不代表维护者的立场。
Forwarded from IT 之家
Telegraph
微软推送 Win11 在线服务体验包测试更新,升级 Windows 开始菜单
IT之家 6 月 4 日消息,微软希望通过 Windows 11 使操作系统更加“模块化”,例如将任务栏、桌面等功能从 explorer.exe 中分离出来,从而使 Windows 11 更稳定。现在,微软已经开始测试新的开始菜单设计。 微软一般不会将新功能放在年度大版更新本中,所以该公司会专门为这种功能更新进行测试和推送,也就是 Windows 11 自带“体验包”,包括为 widget 和其他应用程序添加新功能的体验包。 从 Canary 频道最新的“Windows.Shell.StartMenu”3.2.127.0…
👍1
Forwarded from 新·世界观察日志 (NPGamma)
国家互联网信息办公室关于《近距离自组网信息服务管理规定(征求意见稿)》公开征求意见的通知
为了规范近距离自组网信息服务,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,根据《中华人民共和国网络安全法》、《互联网信息服务管理办法》、《网络信息内容生态治理规定》等法律法规,国家互联网信息办公室起草了《近距离自组网信息服务管理规定(征求意见稿)》,现向社会公开征求意见。
第二条 在中华人民共和国境内提供、使用近距离自组网信息服务,适用本规定。
本规定所称近距离自组网信息服务,是指利用蓝牙、Wi-Fi等信息技术,近距离即时组建网络并提供发布、接收信息的服务。
本规定所称近距离自组网信息服务使用者,是指使用近距离自组网信息服务发布或接收文字、图片、音视频等信息的主体,包括发布者与接收者。
第三条 提供近距离自组网信息服务,应当遵守宪法、法律和行政法规,弘扬社会主义核心价值观,坚持正确政治方向、舆论导向和价值取向,维护清朗网络空间。
第五条 近距离自组网信息服务使用者不得利用该服务发布、转发违法信息;应当采取措施,防范和抵制制作、复制、发布不良信息;接收到违法和不良信息的,不得转发,有权向网信等有关主管部门投诉、举报。
第九条 近距离自组网信息服务提供者在提供服务过程中,未经接收者同意,不得默认提供快照、缩略图等概要信息预览功能。
第十一条 近距离自组网信息服务提供者应当设置便捷投诉举报入口或提供投诉举报渠道,及时受理和处理关于近距离自组网信息服务的公众投诉、举报。
第十四条 近距离自组网信息服务提供者上线具有舆论属性或社会动员能力的新技术、新应用、新功能,应当按照国家有关规定开展安全评估。发现存在安全隐患的,应当及时整改,直至消除相关安全隐患。
https://mp.weixin.qq.com/s/v-eReNBc0QUrhmfpdsXiCQ
为了规范近距离自组网信息服务,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,根据《中华人民共和国网络安全法》、《互联网信息服务管理办法》、《网络信息内容生态治理规定》等法律法规,国家互联网信息办公室起草了《近距离自组网信息服务管理规定(征求意见稿)》,现向社会公开征求意见。
第二条 在中华人民共和国境内提供、使用近距离自组网信息服务,适用本规定。
本规定所称近距离自组网信息服务,是指利用蓝牙、Wi-Fi等信息技术,近距离即时组建网络并提供发布、接收信息的服务。
本规定所称近距离自组网信息服务使用者,是指使用近距离自组网信息服务发布或接收文字、图片、音视频等信息的主体,包括发布者与接收者。
第三条 提供近距离自组网信息服务,应当遵守宪法、法律和行政法规,弘扬社会主义核心价值观,坚持正确政治方向、舆论导向和价值取向,维护清朗网络空间。
第五条 近距离自组网信息服务使用者不得利用该服务发布、转发违法信息;应当采取措施,防范和抵制制作、复制、发布不良信息;接收到违法和不良信息的,不得转发,有权向网信等有关主管部门投诉、举报。
第九条 近距离自组网信息服务提供者在提供服务过程中,未经接收者同意,不得默认提供快照、缩略图等概要信息预览功能。
第十一条 近距离自组网信息服务提供者应当设置便捷投诉举报入口或提供投诉举报渠道,及时受理和处理关于近距离自组网信息服务的公众投诉、举报。
第十四条 近距离自组网信息服务提供者上线具有舆论属性或社会动员能力的新技术、新应用、新功能,应当按照国家有关规定开展安全评估。发现存在安全隐患的,应当及时整改,直至消除相关安全隐患。
https://mp.weixin.qq.com/s/v-eReNBc0QUrhmfpdsXiCQ
Weixin Official Accounts Platform
国家互联网信息办公室关于《近距离自组网信息服务管理规定(征求意见稿)》公开征求意见的通知
国家互联网信息办公室关于《近距离自组网信息服务管理规定(征求意见稿)》公开征求意见的通知.pdf
117.4 KB
#backup
https://mp.weixin.qq.com/s/v-eReNBc0QUrhmfpdsXiCQ 网页存档,若对隐私感到顾虑请使用。
频道维护者引用链接的页面内容仅供参考,不代表维护者的立场。
https://mp.weixin.qq.com/s/v-eReNBc0QUrhmfpdsXiCQ 网页存档,若对隐私感到顾虑请使用。
频道维护者引用链接的页面内容仅供参考,不代表维护者的立场。
比特随想
#forward #think https://www.bumingbai.net/2023/05/ep-048-program-think/ 这个频道命名为“比特随想”,灵感就是来自编程随想。 编程随想中之人阮晓寰于 2021 年 5 月 10 日被捕。向简体中文互联网先锋敬礼,保持独立思考。 频道维护者引用链接的页面内容仅供参考,不代表维护者的立场。
#forward 长话短说:支付宝 SDK 存在盗刷漏洞。
★延伸阅读
https://news.1rj.ru/str/DNSPODT/1052
https://news.1rj.ru/str/NewWorldObservationLog/1737
频道维护者引用链接的页面内容仅供参考,不代表维护者的立场。
★延伸阅读
https://news.1rj.ru/str/DNSPODT/1052
https://news.1rj.ru/str/Vzhibei/1468https://news.1rj.ru/str/NewWorldObservationLog/1737
频道维护者引用链接的页面内容仅供参考,不代表维护者的立场。
Telegram
LoopDNS资讯播报
重要: 部分应用内置的支付宝支付组件可能有身份验证漏洞,存在盗刷风险
原理: 部分应用内置支付宝支付组件,可在用户无支付宝 App 环境下快捷付款,但该组件存在可被抓包劫持的问题,攻击者可通过流量抓包捕获验证码请求,并篡改短信获取手机号码实现验证码登录,但支付仍然需要支付密码才能成功支付
漏洞级别:重要[需要用户注意]
漏洞利用难度: 一般[攻击者需要持有目标多项信息,但信息获取难度较低,虽然支付宝存在安全风控防护,但仍然存在被批量风险]
注意: 由于国内隐私问题,大量公民个人信息泄露,攻击者非…
原理: 部分应用内置支付宝支付组件,可在用户无支付宝 App 环境下快捷付款,但该组件存在可被抓包劫持的问题,攻击者可通过流量抓包捕获验证码请求,并篡改短信获取手机号码实现验证码登录,但支付仍然需要支付密码才能成功支付
漏洞级别:重要[需要用户注意]
漏洞利用难度: 一般[攻击者需要持有目标多项信息,但信息获取难度较低,虽然支付宝存在安全风控防护,但仍然存在被批量风险]
注意: 由于国内隐私问题,大量公民个人信息泄露,攻击者非…