<\/p>\n
Czy potrafisz na pierwszy rzut oka stwierdzi\u0107, kt\u00f3ry z poni\u017cszych adres\u00f3w URL jest prawdziwy, a kt\u00f3ry jest z\u0142o\u015bliwym phishingiem, kt\u00f3ry pobiera evil.exe?<\/p>\n
https:\/\/github.com\u2215kubernetes\u2215kubernetes\u2215archive\u2215refs\u2215tags\u2215@v1271.zip Chcemy pokaza\u0107 Ci, w jaki spos\u00f3b atakuj\u0105cy mo\u017ce wykorzysta\u0107 t\u0119 TLD w po\u0142\u0105czeniu z operatorem @ i znakiem Unicode \u201e\u2215\u201d \u00a0(U+2215), aby stworzy\u0107 niezwykle przekonuj\u0105cy phishing.<\/p>\n Jak wida\u0107 na poni\u017cszym podziale adresu URL, wszystko pomi\u0119dzy schematem https:\/\/ a operatorem @ traktuje si\u0119 jako informacje o u\u017cytkowniku, a wszystko po operatorze @ to hostname. Jednak\u017ce nowoczesne przegl\u0105darki, takie jak Chrome, Safari i Edge, nie chc\u0105, aby u\u017cytkownicy przypadkowo uwierzytelniali si\u0119 na stronach internetowych za pomoc\u0105 jednego klikni\u0119cia, wi\u0119c ignoruj\u0105 wszystkie dane w sekcji informacji o u\u017cytkowniku i po prostu przekieruj\u0105 ich do cz\u0119\u015bci adresu URL zawieraj\u0105cej hostname.<\/p>\n Na przyk\u0142ad, adres URL https:\/\/google.com@bing.com w rzeczywisto\u015bci przeniesie u\u017cytkownika na stron\u0119 bing.com.<\/p>\n <\/p>\n <\/p>\n Je\u015bli jednak zaczniemy dodawa\u0107 uko\u015bniki do adresu URL, kt\u00f3ry znajduje si\u0119 przed operatorem @, takim jak https:\/\/google.com\/search@bing.com, nasza przegl\u0105darka zacznie analizowa\u0107 wszystko po uko\u015bniku jako \u015bcie\u017ck\u0119, a teraz cz\u0119\u015b\u0107 adresu URL bing.com zostanie zignorowana i zostaniemy przeniesieni do google.com.<\/p>\n <\/p>\n Jak to si\u0119 robi w praktyce?<\/strong><\/p>\n <\/p>\n Za\u0142\u00f3\u017cmy wi\u0119c, \u017ce chcieli\u015bmy stworzy\u0107 phishingowy adres URL, kt\u00f3ry zawiera\u0142 uko\u015bniki przed operatorem @, tak aby wygl\u0105da\u0142o na to, \u017ce ofiara odwiedza \u015bcie\u017ck\u0119 URL google.com, ale chcieli\u015bmy, aby kierowa\u0142 ofiar\u0119 do bing.com.<\/p>\n <\/p>\n <\/p>\n Zgodnie z tym raportem o b\u0142\u0119dzie Chromium z 2016 roku, znaki U+2044 (\u2044) i U+2215 (\u2215) s\u0105 dozwolone w hostname, ale nie s\u0105 traktowane przez przegl\u0105dark\u0119 jako uko\u015bniki. Oba te znaki unicode przypominaj\u0105 legalny znak uko\u015bnika U+002F (\/).<\/p>\n Je\u015bli stworzymy adres url taki jak:<\/p>\n <\/p>\n https:\/\/google.com\u2215gmail\u2215inbox@bing.com<\/p>\n przekieruje on u\u017cytkownika do bing.com, poniewa\u017c uko\u015bniki U+2215 s\u0105 traktowane jako cz\u0119\u015b\u0107 UserInfo adresu url, a nie jako pocz\u0105tek \u015bcie\u017cki.<\/p>\n Mo\u017cemy wykorzysta\u0107 t\u0119 wiedz\u0119 i stworzy\u0107 bardzo przekonuj\u0105cy phishing legalnego pliku .zip z now\u0105 domen\u0105 TLD .zip Google.<\/p>\n Jako przyk\u0142adu u\u017cyjmy pakietu kodu Github. Je\u015bli u\u017cytkownik chce pobra\u0107 kopi\u0119 oprogramowania open source Kubernetes, odwiedza Github i pobiera adres url z:<\/p>\n
\nhttps:\/\/github.com\/kubernetes\/kubernetes\/archive\/refs\/tags\/v1.27.1.zip<\/a><\/p>\n![\"zip1\"](\"https:\/\/cybergen.pl\/hs-fs\/hubfs\/zip1.png?width=605&height=324&name=zip1.png\")
<\/p>\n![\"zip2\"](\"https:\/\/cybergen.pl\/hs-fs\/hubfs\/zip2.png?width=605&height=163&name=zip2.png\")
<\/p>\n![\"zip3\"](\"https:\/\/cybergen.pl\/hs-fs\/hubfs\/zip3.png?width=605&height=180&name=zip3.png\")
<\/p>\n
![\"zip4\"](\"https:\/\/cybergen.pl\/hs-fs\/hubfs\/zip4.png?width=605&height=190&name=zip4.png\")
<\/p>\n![\"zip5\"](\"https:\/\/cybergen.pl\/hs-fs\/hubfs\/zip5.png?width=605&height=282&name=zip5.png\")
<\/p>\n![\"zipsto\"](\"https:\/\/cybergen.pl\/hs-fs\/hubfs\/zipsto.png?width=605&height=207&name=zipsto.png\")
<\/p>\n