可溶性研究人員
由於禁止混合來自不同字母的字符,通過外觀相似的 IDN 域進行的經典替換長期以來一直在瀏覽器和註冊商中被阻止。 例如,無法通過將拉丁語“a”(U+43) 替換為西里爾語“a”(U+0061) 來創建假域名 apple.com(“xn--pple-0430d.com”),因為混合域中不允許使用不同字母的字母。 2017 年是
現在已經找到了另一種繞過保護的方法,基於註冊商阻止拉丁語和 Unicode 混合的事實,但如果域中指定的 Unicode 字符屬於拉丁字符組,則允許這種混合,因為這些字符屬於到相同的字母表。 問題是擴展
象徵 ”
Verisign 註冊商確定了註冊拉丁字母與指定 Unicode 字符混合的域名的可能性(未檢查其他註冊商),並在 Amazon、Google、Wasabi 和 DigitalOcean 服務中創建了子域名。 該問題於去年 XNUMX 月發現,儘管已發出通知,但三個月後的最後一刻,該問題僅在亞馬遜和威瑞信得到修復。
在實驗過程中,研究人員花費了 400 美元向 Verisign 註冊了以下域名:
- amɑzon.com
- 中國網
- salesforce.com
- ɡmɑil.com
- ɑppɩe.com
- ebɑy.com
- 靜態網站
- steɑmpowered.com
- theɡguardian.com
- theverɡe.com
- Washinɡtonpost.com
- pɑypɑɩ.com
- wɑlmɑrt.com
- wɑsɑbisys.com
- yɑhoo.com
- cɩoudfɩare.com
- deɩɩ.com
- gmɑiɩ.com
- www.gooɡleapis.com
- huffinɡtonpost.com
- instaram.com
- microsoftonine.com
- ɑmɑzonɑws.com
- roidndroid.com
- netfɩix.com
- 英偉達
- ogoge.com
研究人員還推出
當前的Chrome 和Firefox 瀏覽器在地址欄中以“xn--”前綴的表示法顯示此類域名,但是在鏈接中,域名看起來沒有轉換,可用於在偽裝下將惡意資源或鏈接插入到頁面中從合法網站下載它們。 例如,在已識別的具有同形文字的域之一上,分發了 jQuery 庫的惡意變體。
來源: opennet.ru