研究人員在尋找瀏覽器前端安全問題時發現chrome, safari, firefox等瀏覽器中都存在安全漏洞。本文介紹蘋果產品字母d字形問題造成的網域名稱欺騙問題。
u+a771
研究人員發現蘋果產品中的拉丁小寫字母dum(u+a771)和拉丁小寫字母d (u+0064)的字形非常相像。從標準的unicode字形中,可以看到d後面有一撇,但在蘋果產品的字形中這一撇被忽略了。
註冊icloud.com
然後,研究人員註冊了乙個真實的網域名稱,以進行idn欺騙。verisign的idn註冊規則是不允許混合的unicode指令碼註冊。如果idn含有2個及以上的unicode指令碼,註冊就會被拒絕。因為(u+a771)屬於拉丁語,所以符合網域名稱註冊規則,研究人員也成功註冊了網域名稱。
然後,研究人員註冊了ssl證書來使idn欺騙看著更加真實和完美。研究人員發現,chrome / firefox / edge瀏覽器都是使用punycode來顯示網域名稱的,但safari不是。
注: punycode是乙個根據rfc 3492標準而制定的編碼系統,主要用於把網域名稱從地方語言所採用的unicode編碼轉換成為可用於dns系統的編碼。punycode可以防止所謂的idn欺騙。
測試結果
研究人員測試發現整個欺騙過程是完全可行的,所以攻擊者可以欺騙所有含有字母d的網域名稱。在google top 10k的網域名稱中,大約有25%的含有字母d的網域名稱可以被成功欺騙。包括:
apple補丁
欺騙的藝術
要麼做出乙個榮譽學位的畢業設計來加強學校的計算機安 全,要麼由於黑客行為而中止學業 一種是通過詐騙 欺騙 來獲得錢財,這就是通常的 另一種則通過蒙敝 影響 勸導來達到獲取資訊的目的,這就是社會工程師。人們對於絕對安全的渴望常常導致他們滿足於 虛假的安全感之中。人為因素才是安全的軟肋。二十世紀最受 尊...
DNS欺騙的方式
方式一 攻占某個dns server 方式二dns id序列號攻擊 方式三本地dns快取汙染 可能性較小 攻擊常常發生在同乙個網路中,也就是所謂的熟人攻擊。在同乙個網路中,先通過arp欺騙,不斷的傳送arp報文,把自己的mac位址當成閘道器的mac位址,把自己偽裝成目標主機的閘道器,這樣流量就會經過...
欺騙的藝術(內容介紹)
內容介紹 本書包含豐富的資訊保安與社會工程學的知識,為有助閱覽,下面對本書內容做乙個簡要介紹 在本書的第一部分 第一章 我將展示資訊保安的薄弱環節,並指出為什麼你和你們的企業處於社會工程師攻擊的危險之下。本書的第二部分 第二至九章 大家將會看到社會工程師是如何利用人們的信任 樂於助人的願望和同情心使...