By Razvan Peteanu (razvan.peteanu@home.com) for SecurityPortal.com
Trans By F@tFox (fatfox@yesky.com)
翻譯：fatfox
來(lái)源:綠色兵團(tuán)bbs http://www.vertarmy.org/bbs/

URL結(jié)構(gòu)

我們來(lái)仔細(xì)看看URLs和與其有關(guān)的安全含義。一種“有趣”的URL利用方式已被垃圾廣告投遞者發(fā)現(xiàn)很長(zhǎng)時(shí)間了，不過(guò)現(xiàn)在“KB”（Knowledge Base）欺騙和二月發(fā)表于Crypto-Gram的文章，已經(jīng)使得URL可以做更多的事。

雖然大部分Internet用戶把WWW地址或FTP同URLs聯(lián)系起來(lái)，但Uniform Resource Locators（URL，統(tǒng)一資源定位器）使用的更普遍一些。URLs的標(biāo)準(zhǔn)在RFC1738中規(guī)定，其中最普通的形式定義為：
:
部分是網(wǎng)絡(luò)協(xié)議名稱，部分被定義為：
//:@:/
其中只有部分是必須的。":"和"@"字符具有特殊的含義,從而服務(wù)器可以解析完整的字符串.如果用戶名和密碼包含在URL中,部分只是從"@"字符后開(kāi)始.看看在KB欺騙論及的例子:
http://www.microsoft.com&item=q209354@www.hwnd.net/pub/mskb/Q209354.asp
其中真正的主機(jī)是"www.hwnd.net"."www.microsoft.com"在這個(gè)URL中不過(guò)是個(gè)假的用戶名,服務(wù)器會(huì)忽略它.

雖然上面的例子是合乎語(yǔ)法的,但是卻可能引起同安全相關(guān)的問(wèn)題.在Internet節(jié)點(diǎn)的終端,不是網(wǎng)卡、Modems或計(jì)算機(jī)，而是人.他們有意識(shí)或無(wú)意識(shí)都應(yīng)該考慮到屏幕上出現(xiàn)的東西是否值得信任.

信任是最基本的安全評(píng)價(jià).像上面例子那樣的帶有欺騙性的URL,利用了我們對(duì)常識(shí)中URLs格式的信任.這種欺騙還利用了我們把主要注意力都集中到主要內(nèi)容而不是URL地址(雖然有時(shí)URL可以幫助我們判斷可信度)這個(gè)事實(shí).SSL保護(hù)的站點(diǎn),把一部分對(duì)可信度的判斷工作交給瀏覽器,瀏覽器會(huì)比較帶有SSL認(rèn)證信息的域;另一方面,如果目的主機(jī)是虛構(gòu)的,那么僅僅依靠加密技術(shù)并不能提供太多有用的評(píng)價(jià).

隱藏

上面關(guān)于URL的分析只是簡(jiǎn)單的隱藏了它的真實(shí)目的地.我們可以用更好的方法來(lái)進(jìn)行隱藏.由于某些原因(有可能是內(nèi)部處理引起的),有的操作系統(tǒng)對(duì)IP地址的操作并不是通過(guò)我們常用的格式,就象是:aaa.bbb.ccc.ddd,而是相應(yīng)的十進(jìn)制數(shù).

上面這類地址可以改寫(xiě)成十進(jìn)制的值:aaa*256^3+bbb*256^2+cccc*256+ddd.這樣,3633633987就是216.148.218.195(屬于www.redhat.com紅帽子公司).你可以在瀏覽器中輸入3633633987,你會(huì)發(fā)現(xiàn)你已經(jīng)來(lái)到了REDHAT公司的網(wǎng)站上.上面的操作可以使用IE5.X或者是Linux下的Lynx,但并沒(méi)對(duì)其他操作系統(tǒng)進(jìn)行測(cè)試,可能會(huì)相差很多.一些軟件會(huì)對(duì)你的輸入提示"非法的URLs",但你只要用很少的軟件(包括常用的工具,如ping)進(jìn)行測(cè)試,你就可以判斷出這個(gè)操作系統(tǒng)是否支持這種URLs的使用方式.

如果該操作系統(tǒng)支持這種使用,那么就可以通過(guò)構(gòu)造如下的URL來(lái)制造更大的迷惑:http://www.toronto.com:ontario@3633633987/,這個(gè)URL仍然指到REDHAT.因?yàn)楹芏嗟木W(wǎng)站都把HTTP的SessionID存在URL中,來(lái)代替使用Cookie,所以Internet使用者并不會(huì)注意URL中的數(shù)字值,這樣上面構(gòu)造的URL不會(huì)帶來(lái)任何懷疑.密碼部分可以省略,這樣http://www.toronto.com@3633633987/的迷惑性更強(qiáng).

現(xiàn)在,我們可以使用一些HTTP知識(shí):anchor(錨)標(biāo)記允許顯示的文本指到一個(gè)不是文本本身的連接上,這樣我們可以把連接寫(xiě)成http://www.toronto.com,然后把連接的文字設(shè)成錨,再把這個(gè)錨連接到http://www.toronto.com@3633633987/上,是不是很危險(xiǎn),如果你點(diǎn)擊這個(gè)連接,依舊會(huì)把你帶到REDHAT公司.

另一個(gè)對(duì)信任的利用是可信站點(diǎn)的間接尋址提供的.很多知名網(wǎng)站通過(guò)如下格式的連接來(lái)記錄引導(dǎo)訪問(wèn)者來(lái)此的網(wǎng)址:"http://www.thisisarespectablesite.com/outsidelinks/http://externalsite",在服務(wù)器端捕獲請(qǐng)求信息后,再把用戶重定向到目標(biāo)網(wǎng)站上.

這就使任何人都可以使用這種間接尋址服務(wù),通過(guò)與URL困惑組合使用,給欺詐性的URLs提供更多的合法性.可以限制HTTP提交區(qū)域的輸入值,來(lái)避免非法的輸入,但很少有網(wǎng)站這么做.

如果你覺(jué)著以上說(shuō)的還不夠,哪你還可以利用Unicode編碼,把真實(shí)目的URL通過(guò)Unicode碼寫(xiě)出,再解析時(shí)會(huì)還原成真實(shí)目的.

上面的這些對(duì)于"知識(shí)淵博"的垃圾廣告制造者來(lái)說(shuō)都不是新東西,但對(duì)于用來(lái)攻擊一般不會(huì)起疑的用戶來(lái)說(shuō),還是非常有用的.

One-click 攻擊

下面,我們對(duì)URL安全問(wèn)題進(jìn)一步討論.

很多"標(biāo)準(zhǔn)"的攻擊都可以從緩沖區(qū)溢出開(kāi)始,但是現(xiàn)在這種溢出卻不好找到.那么,我們?cè)趺崔k呢?

在注冊(cè)表中,有如下的鍵值:HKEY_LOCAL_MACHINE＼SOFTWARE＼Classes＼PROTOCOLS＼Handler,在HKEY_CLASSES_ROOT＼Shell下還有"URL Protocol"這個(gè)子鍵(你可以使用查找來(lái)搜索這些鍵).其中你可以找到ftp://, http://, https://, mailto://, news://, pnm://和其他協(xié)議.這里面有很多協(xié)議都是以前沒(méi)見(jiàn)過(guò)的,比如msee://.通過(guò)快速的試驗(yàn),發(fā)現(xiàn)msee://是"微軟大百科"使用的,可能是用來(lái)查閱內(nèi)部文章用的."微軟大百科"是否會(huì)引起緩沖區(qū)溢出呢,如果是,那么是否可以實(shí)際利用呢?這些都要進(jìn)行更深的研究.

我們可以找到很多在安裝軟件時(shí)添加的URL構(gòu)造(比如copernic://就是copernic搜索工具生成的).另外,還可以使用腳本語(yǔ)言修改受害機(jī)注冊(cè)表來(lái)添加我們的URL結(jié)構(gòu),腳本語(yǔ)言可以用vbs編制,然后通過(guò)email發(fā)送過(guò)去,在然后.........你就可以使用這個(gè)URL結(jié)構(gòu)來(lái)引起緩沖區(qū)溢出了.雖然這看起來(lái)同URL聯(lián)系不大,但多少還有些聯(lián)系,所以就一起說(shuō)了.