【51CTO.com獨家特稿】攻擊者為了達到攻擊目的，他們在網(wǎng)絡(luò)鏈接方面可謂下足了功夫：為了誘使用戶單擊鏈接，想方設(shè)法讓這些鏈接看上去一點問題都沒有，然而，只要用戶一點擊就被帶進陰溝里——惡意軟件站點或者釣魚站點。為此，他們想到了把原裝URL中的英文字符替換為其它語言集（例如古代斯拉夫語）中的同形字符，這樣，這些URL的外觀在瀏覽器中根本看不出有什么變化——這就是本文所要介紹的同形詞攻擊技術(shù)。

雖然這不是一種新穎的攻擊手法，但是可以肯定的是，到目前為止大部分web用戶對它還是非常陌生的，甚至一些安全專業(yè)人員也是如此。 正是由于這個原因，所以本文將通過一種通俗易懂的方式來向廣大讀者介紹同形詞攻擊技術(shù)到底是怎么回事。

為了讓讀者對同形詞攻擊有一個直觀的認識，下面他們用一個簡單的示例來進行演示。例如，您能說出а和a的區(qū)別在哪里嗎？第一字母是古代斯拉夫語的小寫字母а，第二個字母是拉丁文小寫字母a。在瀏覽器中，它們看上去一模一樣，但實際上它們是不同的兩個字符。小寫字母a只是眾多可被用于這種攻擊類型的字符之一。

現(xiàn)在，請您仔細觀察下面的兩個URL，您能從外觀上看出有什么區(qū)別嗎？

www.paypal.com

和

www.pаypal.com

它們看上去是不是像是從一個模子里刻出來的，即便您將它們粘貼到地址欄的話，它們看上去也極為相似。但是，按回車鍵后，它們卻將您帶到兩個截然不同的站點，一個去往PayPal，如下所示：

圖

而另一個則去往展示這種攻擊而設(shè)的一個頁面，如下所示：

圖

下面再給出兩個人眼很難區(qū)分的兩個URL范例，盡管看上去一樣，但是把它們復(fù)制進瀏覽器的地址欄：

www.securityninja.co.uk/blog

和

www.ѕеcurityninјa.co.uk/blog

第二個URL里的三個字符已被替換，下面我們把URL中古代斯拉夫語的字母e和j的值用unicode值的形式顯示出來：

www.0×04550x0435curitynin0×0458a.co.uk/blog

上面的例子足以證明，單擊一個看上去正確無誤的鏈接也具有非常大的潛在危險，更可怕的是，如果這種攻擊手法與其他攻擊相結(jié)合的話，那就更危險了。

【51CTO.COM 獨家特稿，轉(zhuǎn)載請注明出處及作者！】

【編輯推薦】

1. BLOG:CMS URL參數(shù)SQL注入式攻擊漏洞
2. 長URL背后的殺機網(wǎng)站防范XSS攻擊實錄