论坛中的url欺骗

/ns/ld/softld/data/20030722032639.htm

受影响的论坛:各个版本的雷傲论坛,动网论坛 等等

详细描速:在以上论坛都利用到[url=www.xxx.com]abc[/url] 这种方式来把一个url赋予一组文字

常见的方式是[url=www.xxx.com]点击下载[/url] 其中的www.xxx.com当然可以换成任意的网址

但是这样子并不保险 因为当出现点击下载的时候 浏览的人都会无意识的把鼠标放在上面看看是不是

后缀名如zip rar iso等文件的网址 假如我们一开始就给出 后缀名为zip rar 的形式的url 便可以很轻易的

获取浏览者的信任 将其引到任何你想他去的地方 (最近IE不是出了N多漏洞吗...嘿嘿)

通过简单的构造 即可实现这个功能

利用方法:

假设某一个论坛某篇文章的url为http://www.20cn.net/cgi-bin/topic.cgi?forum=16&topic=121&show=0

我们把这个url引致www.20cn.net 首页

我们设置以下欺骗[url=http://www.20cn.net]http://www.20cn.net/cgi-bin/topic.cgi?forum=16&topic=121&show=0[/url]

当浏览者看见是论坛的连接的时候当然不会怀疑.....

另外的例子[url=http://www.20cn.net]http://www.20cn.net/down/rxploit.rar[/url]

动画教程...做了不过没地方上传 等着吧.....

===============================================
本文版权属20CN网络安全小组及其作者所有,如有转载,请保持文章完整性并注明出处
文章类型:原创 提交:allyesno 核查:NetDemon