这是同形异义词攻击吗?

这是同形异义词攻击吗?

我获得了一个阿迪达斯网站的链接,上面显示了一些优惠。但是当我仔细查看时,发现地址有一些可疑的差异。www-adidạs-com 这里的“a”不同。这是同形异义词攻击吗? http://www.adidạs.com/

答案1

是的,这是同形异义词攻击

Unicode 字符‘下方带点的拉丁小写字母 A’ (U+1EA1)

阿迪达斯没有理由在其任何领域使用该字符。

阿迪达斯是一家德国公司,下点在德语中不使用。


当主机名的一部分包含非 ASCII 字符(例如此字符)时,浏览器会将该元素转换为IDNA 编码。因此实际的 DNS 查询是 www.xn--adids-m11b.com

您可以使用 wireshark 或 tcpdump 轻松检查,然后单击您的 URLhttp://www.adidạs.com/在网络浏览器中。

真正的阿迪达斯使用内容交付网络,包括 Akamai,许多其他大型组织也这样做

> host www.adidas.com
www.adidas.com is an alias for chinacdn.ev.adidas.edgekey.net.
chinacdn.ev.adidas.edgekey.net is an alias for e2828.a.akamaiedge.net.
e2828.a.akamaiedge.net has address 2.19.150.110

这批假货没有

> host www.xn--adids-m11b.com
www.xn--adids-m11b.com has address 104.27.180.65
www.xn--adids-m11b.com has address 104.27.181.65
www.xn--adids-m11b.com has IPv6 address 2400:cb00:2048:1::681b:b541
www.xn--adids-m11b.com has IPv6 address 2400:cb00:2048:1::681b:b441

这可能会引发某种骗局或病毒传播

> wget -S -O - www.xn--adids-m11b.com 
--2018-02-03 18:21:54--  http://www.xn--adids-m11b.com/
Resolving www.xn--adids-m11b.com... 104.27.180.65, 104.27.181.65, 2400:cb00:2048:1::681b:b541, ...
Connecting to www.xn--adids-m11b.com|104.27.180.65|:80... connected.
HTTP request sent, awaiting response... 
  HTTP/1.1 200 OK
  Date: Sat, 03 Feb 2018 18:21:56 GMT
  Content-Type: text/html
  Transfer-Encoding: chunked
  Connection: keep-alive
  Set-Cookie: __cfduid=de9ae099750b5ca0fa59df2255aefedbd1517682116; expires=Sun, 03-Feb-19 18:21:56 GMT; path=/; domain=.xn--adids-m11b.com; HttpOnly
  Last-Modified: Sat, 03 Feb 2018 14:23:22 GMT
  Accept-Ranges: bytes
  Server: cloudflare
  CF-RAY: 3e7769a9b00c348e-LHR
Length: unspecified [text/html]
Saving to: 'STDOUT'

<script type="text/javascript">
<!--
window.location = "http://xn--adids-m11b.com/shoes/"
//-->
</script>
<!DOCTYPE html>
<head>

<meta property="og:image" content="images/logo.png" />
<meta property="og:title" content="Adidas is giving away 5000 Free Pair of Shoes to celebrate its 93rd anniversary" />
<script src="s4.min.js"></script>
...

相关内容