【网安资讯】新的“.zip”“.mov”顶级域名引发网安专家担忧

原文链接（需要魔法）：https://medium.com/@bobbyrsec/the-dangers-of-googles-zip-tld-5e1e675e59a5

一种可能的、初遇难以分辨的钓鱼方式：

原理

1、浏览器对url的解析原理

浏览器解析URL的原理如下，其中userinfo部分目前浏览器都会默认丢弃，也就是说//之后、@之前的所有内容无论再长都会被丢弃

2、正斜杠`/`的三种unicode编码

• 合法的——会被作为path的分隔符的斜杠字符：`U+002F (/)`
• 非法的——允许出现在url中但只被当做普通文本信息的一部分的斜杠字符：
• `U+2044 ( ⁄ )`
• `U+2215 ( ∕ )`

钓鱼

现有某资源链接，比如kubernetes在github上的官方下载链接https://github.com/kubernetes/kubernetes/archive/refs/tags/v1.27.1.zip

结合上述两条原理，可以做出如下的钓鱼网站：https://github.com∕kubernetes∕kubernetes∕archive∕refs∕tags∕@v1.27.1.zip

钓鱼网站实际被浏览器解析后的url是https://v1.27.1.zip

不法分子可以注册一个此域名，并对所有get请求进行响应、返回一个与官方文件的文件名相同、但实则包含恶意程序的.zip文件，达到钓鱼的目的。因为b站前端样式很明显的区分了合法的斜杠/和非法的斜杠 ∕ 的显示样式，使得这个钓鱼网址很容易察觉，但如果是在个人搭建的分享技术的博客网站上插入的钓鱼链接，将非法斜杠样式与合法斜杠样式混淆到不易察觉，视觉上钓鱼网站与正规网站仅有一个@字符之差，是很容易中招的。大家毕竟对于github上的资源很信任，而且直接get请求静态资源不会有页面加载，也就是说你不注意看浏览器地址栏、只关注浏览器的“下载”进度时，是不知道访问的不是github官网的。

总结

对于有计算机基础、并且对这种钓鱼方式事先有了解的人来说这种钓鱼方式还算容易察觉，但没有计算机基础、对浏览器解析后地址栏内容的变更不敏感、经常在网络上搜索资源、对.zip类型文件没有任何防备、从网上下载压缩文件之后直接解压运行里面的恶意程序exe的人还是居多的。

至于与其它文件后缀名混淆的.mov和.sh等等，都没有.zip的威胁大。毕竟我预期就是要下载压缩包，点进去就下载好了，那下载好了就是要解压的嘛，解压后按照“教程”（假想的钓鱼博文）里面有个xxx.exe运行就好了嘛（寄）