URL Hijack!

URL Hacking - 前端猥琐流:http://drops.wooyun.org/tips/750


URL欺骗的惯用招式: 
1.@标志过滤用户名的解析 
本来@标志是E-mail地址的用户名与主机的分隔符,但在我URL中同样适用,而且功能如出一辙。HTTP(超文本传输协议)规定了我URL的完整格式是“Http://Name:Password@IP地址或主机名”,其中的“IP地址或主机名”是必填项。@标志与其前面的“Name:Password”,意为“用户名:密码”,属于可选项。也就是说,在我URL中真正起解析作用的网址是从@标志后面开始的,这就是欺骗原理。比如:http://[email protected]/ 
2.十进制的IP地址 
http://2001459789 等同于 http://119.75.218.77/ 即是 http://www.baidu.com/ 
因为:119*256*256*256 + 75*256*256 + 218*256 + 77 = 2001459789 

C:\Users\PP>ping www.baidu.com
正在 Ping www.a.shifen.com [119.75.218.77] 具有 32 字节的数据:
来自 119.75.218.77 的回复: 字节=32 时间=49ms TTL=54
来自 119.75.218.77 的回复: 字节=32 时间=50ms TTL=54
来自 119.75.218.77 的回复: 字节=32 时间=50ms TTL=54

http://2001459789 

你可能感兴趣的:(URL Hijack!)