原文鏈接（需要魔法）：https://medium.com/@bobbyrsec/the-dangers-of-googles-zip-tld-5e1e675e59a5

一種可能的、初遇難以分辨的釣魚方式：

原理

1、瀏覽器對(duì)url的解析原理

瀏覽器解析URL的原理如下，其中userinfo部分目前瀏覽器都會(huì)默認(rèn)丟棄，也就是說//之后、@之前的所有內(nèi)容無論再長都會(huì)被丟棄

2、正斜杠`/`的三種unicode編碼

• 合法的——會(huì)被作為path的分隔符的斜杠字符：`U+002F (/)`
• 非法的——允許出現(xiàn)在url中但只被當(dāng)做普通文本信息的一部分的斜杠字符：
• `U+2044 ( ? )`
• `U+2215 ( ∕ )`

釣魚

現(xiàn)有某資源鏈接，比如kubernetes在github上的官方下載鏈接https://github.com/kubernetes/kubernetes/archive/refs/tags/v1.27.1.zip

結(jié)合上述兩條原理，可以做出如下的釣魚網(wǎng)站：https://github.com∕kubernetes∕kubernetes∕archive∕refs∕tags∕@v1.27.1.zip

釣魚網(wǎng)站實(shí)際被瀏覽器解析后的url是https://v1.27.1.zip

不法分子可以注冊(cè)一個(gè)此域名，并對(duì)所有g(shù)et請(qǐng)求進(jìn)行響應(yīng)、返回一個(gè)與官方文件的文件名相同、但實(shí)則包含惡意程序的.zip文件，達(dá)到釣魚的目的。因?yàn)閎站前端樣式很明顯的區(qū)分了合法的斜杠/和非法的斜杠 ∕ 的顯示樣式，使得這個(gè)釣魚網(wǎng)址很容易察覺，但如果是在個(gè)人搭建的分享技術(shù)的博客網(wǎng)站上插入的釣魚鏈接，將非法斜杠樣式與合法斜杠樣式混淆到不易察覺，視覺上釣魚網(wǎng)站與正規(guī)網(wǎng)站僅有一個(gè)@字符之差，是很容易中招的。大家畢竟對(duì)于github上的資源很信任，而且直接get請(qǐng)求靜態(tài)資源不會(huì)有頁面加載，也就是說你不注意看瀏覽器地址欄、只關(guān)注瀏覽器的“下載”進(jìn)度時(shí)，是不知道訪問的不是github官網(wǎng)的。

總結(jié)

對(duì)于有計(jì)算機(jī)基礎(chǔ)、并且對(duì)這種釣魚方式事先有了解的人來說這種釣魚方式還算容易察覺，但沒有計(jì)算機(jī)基礎(chǔ)、對(duì)瀏覽器解析后地址欄內(nèi)容的變更不敏感、經(jīng)常在網(wǎng)絡(luò)上搜索資源、對(duì).zip類型文件沒有任何防備、從網(wǎng)上下載壓縮文件之后直接解壓運(yùn)行里面的惡意程序exe的人還是居多的。

至于與其它文件后綴名混淆的.mov和.sh等等，都沒有.zip的威脅大。畢竟我預(yù)期就是要下載壓縮包，點(diǎn)進(jìn)去就下載好了，那下載好了就是要解壓的嘛，解壓后按照“教程”（假想的釣魚博文）里面有個(gè)xxx.exe運(yùn)行就好了嘛（寄）