广州双城热恋创意文化传播有限公司

现在的位置: 主页 > 在线留言 > 文章列表

文章正文

看到这里你应该高兴

作者:广州双城热恋创意文化传播有限公司 来源:www.999loveyou.com 发布时间:2018-10-22 09:10:44
打开一个正经网址,却去了一个不可描述的网站 打开一个正经网址,却去了一个不可描述的网站,怎么回事?

这绝不是一次你想要的惊险刺激的冒险,你以为这是小朋友突然翻了一次墙么?

赛博世界,我想要知道我在哪,我去哪。

腾讯玄武实验室技术专家徐少培说:“Google曾公开表示在现代浏览器中,地址栏是唯一可靠的指示器。”

这句话应该如何理解?通俗的来说就是,如果地址栏上出现了安全问题,后续所访问的Web页面,可信任的体系将全部崩塌。

雷锋网决定,先上个数据震撼一下你。

上周,Chrome发布了最新的版本,在安全漏洞当中,其中有 16 个漏洞由外部人员提交。在这 16 个漏洞当中,中高危漏洞占了 12 个,获得了谷歌的漏洞奖励。在这12个漏洞当中,有3个漏洞是地址栏上的漏洞,也就是说,Chrome浏览器作为目前业界公认的最安全的浏览器,其中地址栏上的安全漏洞占比四分之一。

对浏览器厂商而言,不仅要消除软件中的缓冲区溢出,最大的安全挑战之一是如何帮助用户在上网时做出正确和安全的决策。

因此,浏览器厂商绞尽脑汁。

第一个指示灯:安全指示符

很久以前,浏览器厂商搞出了一个安全指示符,就像是一枚路标,告诉你前方是一片坦途还是沼泽丛林。

安全指示符琳琅满目。你可能在地址栏看到的是一把绿色的小锁,也可能是把灰色的大锁,或是一个“地球”。

打开一个正经网址,却去了一个不可描述的网站,怎么回事?

HTTP 和 HTTPS 又不同,一边是白色符号,而另外一边可能是绿色符号。不同的符号究竟代表什么?这些符号背后有何深意?

2015 年,谷歌曾就此采访过 1329 人,尴尬的是,大部分人对于HTTPS这个指示符略有了解,看到有一个锁,就知道可能是加密或者是安全的问题。对于HTTP这个标识符,一些专家可能都不太明白是什么意思。

看到这里你应该高兴,看,你又比专家多懂了一点点。

当你点开这些各种各样的小符号,其实又打开了一片新天地:

打开一个正经网址,却去了一个不可描述的网站,怎么回事?

内有更多对当前页面权限的设置,以及这个网站是否安全等选项。

第二个指示灯:URL

我们已经了解到在地址栏中安全指示符如何来标识当前网站的安全状态,它是一枚路标,而统一资源定位符(URL)才是地址栏中的真正主角,它告诉你在哪和你要去哪,相当于一张有定位的地图。

打开一个正经网址,却去了一个不可描述的网站,怎么回事?

基本URL包含模式(或称协议)、服务器名称(或IP地址)、路径和文件名,如“协议://授权/路径?查询”。完整的、带有授权部分的普通统一资源标志符语法如下:协议://用户名:密码@子域名.域名.顶级域名:端口号/目录/文件名.文件后缀?参数=值#标志。

所谓协议,是有很多的:

http——超文本传输协议资源

https——用安全套接字层传送的超文本传输协议

ftp——文件传输协议

mailto——电子邮件地址

ldap——轻型目录访问协议搜索

file——当地电脑或网上分享的文件

news——Usenet新闻组

gopher——Gopher协议

telnet——Telnet协议

那么,这个URL 有哪些层面可以被黑客改造,导致你去了一个意想不到的地方?也许,我们可以反推一下,不至于着了道。

作为一个连续三次挖掘了chrome 浏览器地址栏漏洞的老司机,徐少培对攻击者可能伪造URL 的手段了如指掌:

1.这些协议在浏览器处理的时候都有可能出现问题。

2.多级域名时,浏览器地址可视空间很小,有可能把主机覆盖掉,而显示前面伪装的多级域名主机。

推荐阅读/观看:宜昌微信开发 https://www.18627148925.com


COPYRIGHT © 2015 广州双城热恋创意文化传播有限公司 ALL RIGHTS RESERVED. 网站地图 技术支持:肥猫科技
精彩专题:网站建设
购买本站友情链接、项目合作请联系客服QQ:2500-38-100