.zip 结尾的域名很危险吗?有多危险?

胡译胡说2024-06-26 9:33

Google 于 2023 年 5 月 10 日全面开放了以 .zip 结尾的域名,这一举动引起了安全研究人员和社区的警惕,他们担心该通用顶级域名(gTLD,Generic top-level domains)会被用于创建足以迷惑计算机高手的恶意 URL。

2023 年 5 月 3 日,Google 宣布了包括 .zip.mov 在内的 8 个全新的通用顶级域名:

  • .dad
  • .phd
  • .prof
  • .esq
  • .foo
  • .zip
  • .mov
  • .nexus

并于 5 月 10 日通过 Google Domains 向公众开放注册。

Google Domains 是 Google 提供的一项域名注册和管理服务,支持用户搜索和注册域名

小心!含有 .zip 的恶意 URL

安全研究员 Bobby Rauch 指出(The Dangers of Google's .zip TLD),要警惕含有 .zip、Unicode 字符(特别是 U+2044、U+2215 等)以及 @ 符号的恶意 URL。这类恶意 URL 迷惑性极强,甚至能欺骗十分有经验的用户。

若点击 https://google.com@bing.com 这个 URL,实际访问的是 https://bing.com。这是因为根据 RFC 3986 Uniform Resource Identifier (URI): Generic Syntax 的规定,@ 符号之前的 google.com 应识别为用户信息,其后的 bing.com 才是主机名(域名)。我们可以借助常用的编程语言来确认这一点,如利用 PHP 的 parse_url() 函数:

php 复制代码 
<?php
var_dump(parse_url("https://google.com@bing.com"));
array(3) {
  ["scheme"]=>
  string(5) "https"
  ["host"]=>
  string(8) "bing.com"
  ["user"]=>
  string(10) "google.com"
}

然而,若 @ 之前有正斜杠 /,如 https://google.com/search@bing.com,则浏览器会将 /search@bing.com 部分识别为路径,最终访问的是 https://google.com/ 下的文件 search@bing.com。由于没有这个文件,结果自然是 404。

php 复制代码 
<?php
var_dump(parse_url("https://google.com/search@bing.com"));
array(3) {
  ["scheme"]=>
  string(5) "https"
  ["host"]=>
  string(10) "google.com"
  ["path"]=>
  string(16) "/search@bing.com"
}

Bobby Rauch 就是利用了上述规则,创建了一个恶意 URL,

perl 复制代码 
https://github.com∕kubernetes∕kubernetes∕archive∕refs∕tags∕@v1271.zip

乍看之下,这个 URL 似乎是用于从 GitHub 上下载 v1271 这个特定版本的 Kubernetes 的链接。但实际上 parse_url() 函数的解析结果显示,真正要访问的域名却是 v1271.zip 而不是 github.com

php 复制代码 
<?php
var_dump(parse_url("https://github.com∕kubernetes∕kubernetes∕archive∕refs∕tags∕@v1271.zip"));
array(3) {
  ["scheme"]=>
  string(5) "https"
  ["host"]=>
  string(9) "v1271.zip"
  ["user"]=>
  string(63) "github.com?__kubernetes?__kubernetes?__archive?__refs?__tags?__"
}

若你不小心点击了这类域名,那么恭喜你,很可能喜提一个 evil.exe(请注意动画演示中的左下角)。

仅凭肉眼可能难以分辨以下两个 URL 的区别吧:

ruby 复制代码 
https://github.com∕kubernetes∕kubernetes∕archive∕refs∕tags∕
https://github.com/kubernetes/kubernetes/archive/refs/tags/

但若调整一下字体,则可以发现端倪,

恶意 URL 中的正斜杠 / 根本不是真正的 /(U+002F),

而是下面这个看起来很像 / 的 Unicode 字符:

由于恶意 URL 中并没有使用真正的 /,因此根据 RFC 3986 的规定,@ 之前的部分github.com∕kubernetes∕kubernetes∕archive∕refs∕tags∕ 尽管看似域名与路径,但实际上却是用户信息(真够长的)。

在刚刚的动画演示中,Bobby Rauch 其实还使用了另一个迷惑人的小伎俩------在电子邮件客户端上,将 @ 的字号大小更改为 1,让这个特殊字符几乎看不到,从而更隐秘地伪装了恶意 URL。

对于由以 .zip 结尾的域名带来的安全隐患,Bobby Rauch 给出的建议是,在单击 URL 之前,先将鼠标悬停在该 URL 上并检查浏览器底部显示真正要访问的 URL。

相关推荐
Wect1 天前
浏览器缓存机制
前端·面试·浏览器
BingoGo1 天前
当你的 PHP 应用的 API 没有限流时会发生什么?
后端·php
JaguarJack1 天前
当你的 PHP 应用的 API 没有限流时会发生什么?
后端·php·服务端
cipher2 天前
ERC-4626 通胀攻击:DeFi 金库的"捐款陷阱"
前端·后端·安全
BingoGo2 天前
OpenSwoole 26.2.0 发布:支持 PHP 8.5、io_uring 后端及协程调试改进
后端·php
JaguarJack2 天前
OpenSwoole 26.2.0 发布:支持 PHP 8.5、io_uring 后端及协程调试改进
后端·php·服务端
JaguarJack3 天前
推荐 PHP 属性(Attributes) 简洁读取 API 扩展包
后端·php·服务端
BingoGo3 天前
推荐 PHP 属性(Attributes) 简洁读取 API 扩展包
php
JaguarJack4 天前
告别 Laravel 缓慢的 Blade!Livewire Blaze 来了,为你的 Laravel 性能提速
后端·php·laravel
郑州光合科技余经理5 天前
代码展示:PHP搭建海外版外卖系统源码解析
java·开发语言·前端·后端·系统架构·uni-app·php
热门推荐
01GitHub 镜像站点02OpenClaw 使用和管理 MCP 完全指南03OpenClaw + 飞书(Feishu)环境搭建指南04【OpenClaw 本地实战 Ep.3】突破瓶颈:强制修改 openclaw.json 解锁 32k 上下文记忆05OpenClaw优化飞书API 额度已耗尽问题06Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services07Window 10部署openclaw报错node.exe : npm error code 12808Clawdbot部署教程:解决‘gateway token missing’授权问题的完整步骤09小黑课堂计算机二级WPSoffice题库软件下载安装教程(2026年3月最新版)10OpenClaw大龙虾机器人完整安装教程