从实际角度来看

从实际角度来看

我在一家搜索监控公司工作,目前正在调查一些广告,这些广告将恶意 URL 隐藏在经过屏蔽的服务器端重定向中。当用户点击这些广告时,他们会通过位于服务器上的域名进行重定向,该域名上有一些恶意代码,但该域名被 URL 转发服务(如 Porkbun)屏蔽,所以我们看到的只是屏蔽域名,而不是幕后的域名。我想知道,是否有任何可能的方法可以获得隐藏的服务器端 URL?或者有没有什么方法可以获取有关隐藏 URL 的其他信息?

答案1

编辑:原始答案没有解决 OP 问题。这是我第二次尝试。请参阅下面的原始答案

OP 评论

我正在使用 Chrome Inspect 菜单查看完整的重定向路径。Chrome 确实显示了位置响应标头,但它只在请求 URL 标头部分显示了掩码 URL。

从实际角度来看

此时我会考虑联系https://porkbun.com并解释你的情况。向他们提供你迄今为止收集的证据(允许你分享的部分)。如果他们是合法企业,他们讨厌犯罪分子滥用他们的服务。他们有可能愿意合作。

从技术角度来看

仅凭这些少量信息来排除故障非常困难。

  • 如果你用真实的浏览器访问恶意 URL,恶意软件可能会成功感染该 URL,并向你提供错误信息

  • 还有另一种可能性:

    1. 恶意广告包含以下链接:https://porkbun.com/<path here>
    2. https://porkbun.com/<path here>是 301 重定向至https://<evil>.com/<more evil>
    3. https://<evil>.com/<more evil>不是HTTP 重定向,而是一个 HTML 页面
      1. 发起攻击
      2. 使用任意数量的HTML或者JS浏览器导航技巧https://porkbun.com/<another path here>
        • Chrome Inspect 可能会在导航时重置网络历史记录。这是 Firefox 开发工具默认执行的操作。
  • 也许 porkbun url 转发确实会根据 IP、地理位置、用户代理字符串、cookie 或任何其他因素提供不同的响应

    • 攻击者可能会使用 API 在链接被点击一次或一段时间后自动更改链接的目的地
    • 找到其全部功能集的一种可能方法是注册。如果他们有某个功能,你会在他们的管理 UI 中找到它
  • 你确定这是网址转发服务吗?porkbun 还提供托管服务。也许在 porkbun 上托管着一个由攻击者控制的服务器,它会给你不同的响应

原始答案

https://porkbun.com/products/url_forwarding不宣传任何高级功能,例如尝试区分浏览器与任何其他用户代理。它可能向所有人发送相同的响应。在这种情况下,可以在位置响应标头

我看到的只是链接-->屏蔽域-->登陆页面。

听起来你的 HTTP 客户端会自动遵循重定向并给你重定向链中的最后一个响应。

HTTP 重定向的工作原理:

  1. 客户请求https://example.com/foo
    GET /foo HTTP/1.1
    Host: example.com
    
  2. example.com 以重定向进行响应
    HTTP/1.1 301 Moved Permanently
    Location: https://en.wikipedia.org/wiki/HTTP_301
    
  3. 客户请求https://en.wikipedia.org/wiki/HTTP_301可能会再次重定向或以非重定向状态代码进行响应

查阅 HTTP 客户端的文档,了解如何配置它以提供重定向链中所有 URL 的列表。如果您的 HTTP 客户端没有此功能,请使用其他 HTTP 客户端。例如 python请求库允许通过以下方式检查重定向链中的所有响应响应历史

相关内容