所见非所得: 浅析同形异义词攻击及案例分析-黑客接单平台

自从 ICANN 二十多年前在域名(称为国际化域名或简称 IDN)中引进Unicode 以来,一系列全新的安全问题也随之浮出水面,一起还或许运用不同的字母和Unicode 字符注册域名。 在研讨依据同形异义词和...

自从 ICANN 二十多年前在域名(称为国际化域名或简称 IDN)中引进Unicode 以来,一系列全新的安全问题也随之浮出水面,一起还或许运用不同的字母和Unicode 字符注册域名。 在研讨依据同形异义词和 IDN的网络垂钓和其他进犯的可行性时,首要是在 web 运用浸透测验的布景下,咱们偶尔发现了一些古怪的事例,它们也影响了移动运用程序。然后咱们决议针对移动即时通讯东西打开查询,特别是那些面向安全的,查询这类缝隙的盛行程度。 这篇博客文章供给了关于同形异义进犯的扼要概述,强调了它的危险,并介绍了针对 Signal,Telegram 和 Tor Browser 的两种实践运用方法。这两种方法或许导致简直不或许被检测到的完美网络垂钓场景,也或许导致更强壮的运用方法以用来抵挡具有网络诈骗认识的方针。 什么是同形字和同形异义词? 在咱们日子中,碰见归于不同字母的字符却看起来相似的状况并不罕见,这些字符即被称为同形字符。有时这取决于它们刚好以视觉上难以区别的方法呈现,运用户无法区别它们之间的差异。 因为肉眼看'a'和'a'看起来是相同的(一个同形字) ,但前者归于拉丁文,后者归于西里尔字母。 可是关于未经练习的人类眼睛来说,很难区别这两者,它们或许被计算机列为两种彻底不同的解说。 同形异义词是两个看起来相同但实践上不同的字符串。 例如,英语单词"lighter"在写法上是相同的,但依据上下文的不同,它的意思也有所不同——它的意思可所以"焚烧的设备",也可所以名词,也可所以动词"heavy"的反义词。 字符串 blazeinfosec.com 和 blazeinfosec.com 常常作为同形字符呈现,但当转化为 URL 时会发生不同的成果。 同形字,以及扩展的同形字,存在于许多不同的文字之间。 例如,拉丁文、希腊文和西里尔字母共用许多字符,这些字符要么看起来彻底相似(例如,A 和 A) ,要么十分相似(例如,P 和P)。 Unicode 有一个文档,它考虑到了"易混杂"字符,这些字符在不同的脚本中具有相似的视觉感观。 字体烘托和同形字 如CVE-2019-4277和2019年4月由Xudong Zheng供给的示例所示,烘托字体的呈现方法,以及显现器中字体的巨细,同形字和同形异义词或许以不同的方法显现,也或许彼此之间没有彻底不同,这暴露了迄今为止针对 IDN 同形字所采纳的办法是缺乏的。 下面是用 Tahoma 字体显现的字符串 https://www.apple.com (拉丁文)和 https://www.аррӏе.com (西里尔字母) ,字体巨细为30: 下面是以 Bookman Old Style 字体显现的相同的字符串,巨细为30:

从它们呈现和显现的方法来看,Tahoma 好像没有区别这两者,没有为诈骗网站的用户供给任何视觉指示。 另一方面,Bookman Old Style 好像至少对'l'和'І'有不同的表现方法,给出了关于 URL 合法性的一个小小的视觉暗示。 国际化域名(IDN)和 punycode 跟着在首要操作体系和运用程序中对Unicode 的支撑的呈现,以及互联网在那些不一定运用拉丁文字母的国家中得到遍及,因特网称号与数字地址分配组织在1990年代末推出了第一个版别的互联网注册号(IDN)。 这意味着域名能够用其母语的字符来表明,而不是用 ASCII 字符来绑定。 可是,DNS 体系并不能了解 Unicode,因而需求一种习惯 ascii 专用体系的战略。 因而,创造 Punycode 是为了将包括 Unicode 符号的域名翻译成 ASCII 码,这样 DNS 服务器就能够正常工作了。 例如,ASCII 中的 https://www.blazeinfosec.com 和 https://www.blаzeinfosec.com 将是: · https://www.blazeinfosec.com · https://www.xn--blzeinfosec-zij.com 因为第二个 URL 中的'a'实践上是西里尔字母的'a',所以需求翻译成 Punycode。 注册同形异义词域名 在国际化域名开始版别一中,能够将 ASCII 和 Unicode 的组合注册到同一个域名中。 这显然是一个安全问题,而且自从选用 IDN 第二和第三版以来现已不再是这样了,该版别进一步约束了 Unicode 域名的注册。 最值得注意的是,它指示通用尖端域名制止注册包括混合脚本的域名(例如,同一字符串中的拉丁字符和日本汉字字符)。 虽然许多尖端域名注册商约束混合脚本,但历史上现已证明了在一个脚本中注册相似的域名的或许性—- 这是现在许多 gTLD 注册商所答应的做法。举个比如,apple.com 和 paypal.com 这两个域名都有西里尔同形异义词,曩昔被安全研讨人员注册为网络浏览器中同形异义词问题的概念证明。 洛根 · 麦克唐纳写了一个东西 ha-finder ,它能够查看排名前100万的网站,查看每个网站的字母是否与拉丁文或小数混杂,然后履行 WHOIS 查找,并告知你是否能够注册。 同形异义词进犯 虽然 ICANN 认识到了同形异义词进犯的潜在危险,可是自从 IDN 引进以来,第一批同形异义词在IDN诈骗被认为是在2005年被 Shmoo Group 的 3ric Johanson 发现的。 这个问题的细节在这个 Bugzilla 收据中有所描述,而且影响了其时许多其他的浏览器。 Unicode 同形异义词的另一个实现是针对 Spotify 的进犯,但与本文中描述的问题没有直接关系。在博客中,一位研讨人员发现因为依据 Unicode 的用户名在 ASCII 码中的转化和规范化不妥,导致进犯者能够直接接收用户账户。 最近,在野外发现了相似的针对加密钱银交易所 MyEtherWallet、Github 的用户的网络垂钓进犯, 2019年,苹果公司在 Safari 浏览器中修正了一个 bug名为 CVE-2019-4277 。腾讯实验室发现,在 URL 栏中输入了一个小写的拉丁字母'ꝱ' (dum),看起来与字符"d"一模相同。 不同的浏览器有不同的战略来处理 IDN。 依据装备,其间一些将显现 Unicode,以供给更友爱的用户体会。 他们也有不同的 IDN 显现算法。谷歌的 Chrome 浏览器的算法能够在这里找到。 它在注册域名的 gTLD 上履行查看,并验证字符是否在西里尔混杂字符列表中。[1][2]黑客接单网

  • 发表于 2021-04-16 13:41
  • 阅读 ( 281 )
  • 分类:互联网

0 条评论

请先 登录 后评论
阳光小聚
阳光小聚

700 篇文章

你可能感兴趣的文章

相关问题