我在一家搜索监控公司工作,目前正在调查一些广告,这些广告将恶意 URL 隐藏在经过屏蔽的服务器端重定向中。当用户点击这些广告时,他们会通过位于服务器上的域名进行重定向,该域名上有一些恶意代码,但该域名被 URL 转发服务(如 Porkbun)屏蔽,所以我们看到的只是屏蔽域名,而不是幕后的域名。我想知道,是否有任何可能的方法可以获得隐藏的服务器端 URL?或者有没有什么方法可以获取有关隐藏 URL 的其他信息?
答案1
编辑:原始答案没有解决 OP 问题。这是我第二次尝试。请参阅下面的原始答案
我正在使用 Chrome Inspect 菜单查看完整的重定向路径。Chrome 确实显示了位置响应标头,但它只在请求 URL 标头部分显示了掩码 URL。
从实际角度来看
此时我会考虑联系https://porkbun.com并解释你的情况。向他们提供你迄今为止收集的证据(允许你分享的部分)。如果他们是合法企业,他们讨厌犯罪分子滥用他们的服务。他们有可能愿意合作。
从技术角度来看
仅凭这些少量信息来排除故障非常困难。
如果你用真实的浏览器访问恶意 URL,恶意软件可能会成功感染该 URL,并向你提供错误信息
还有另一种可能性:
也许 porkbun url 转发确实会根据 IP、地理位置、用户代理字符串、cookie 或任何其他因素提供不同的响应
- 攻击者可能会使用 API 在链接被点击一次或一段时间后自动更改链接的目的地
- 找到其全部功能集的一种可能方法是注册。如果他们有某个功能,你会在他们的管理 UI 中找到它
你确定这是网址转发服务吗?porkbun 还提供托管服务。也许在 porkbun 上托管着一个由攻击者控制的服务器,它会给你不同的响应
原始答案
https://porkbun.com/products/url_forwarding不宣传任何高级功能,例如尝试区分浏览器与任何其他用户代理。它可能向所有人发送相同的响应。在这种情况下,可以在位置响应标头。
我看到的只是链接-->屏蔽域-->登陆页面。
听起来你的 HTTP 客户端会自动遵循重定向并给你重定向链中的最后一个响应。
HTTP 重定向的工作原理:
- 客户请求https://example.com/foo
GET /foo HTTP/1.1 Host: example.com
- example.com 以重定向进行响应
HTTP/1.1 301 Moved Permanently Location: https://en.wikipedia.org/wiki/HTTP_301
- 客户请求https://en.wikipedia.org/wiki/HTTP_301可能会再次重定向或以非重定向状态代码进行响应
查阅 HTTP 客户端的文档,了解如何配置它以提供重定向链中所有 URL 的列表。如果您的 HTTP 客户端没有此功能,请使用其他 HTTP 客户端。例如 python请求库允许通过以下方式检查重定向链中的所有响应响应历史