Wie kann die a/@ URL in Spam gefunden werden?

ich eine E-Mail den folgenden Abschnitt enthält vor kurzem erhielt (nicht klicken!):Wie kann die a/@ URL in Spam gefunden werden?

<A HrEf="/@/0X0a290d92b/UALI=28389-UI=176738575-OI=279-ONI=5477-SI=0-CI=0-BI=577-II=27913-IDSP=1-KLEM=11-TIE=A-IDE=276135-MID=572-FID=0-DIOM=0" sTyLe=color:#000;font-size:10px;font-family:arial;> 
<span>UNS</span></a>

Hier ist ein Link auf die rohen E-Mail: https://gist.github.com/anonymous/16963a230cab0a3a1bcfc81209f297f1

Soweit ich weiß, ist /@ keine gültige URL Wie kann mein Browser eine Website auflösen?

Quelle

2016-04-15 Neal Fultz

[ '' @ in URL-Pfade erlaubt ist] (http://stackoverflow.com/a/19737890/1591669), so '/ @' ist eine gültige relative URL. – unor

Relativ zu was? Der Link befindet sich in einer E-Mail.'https: //mail.google.com/@/0X0a290d92b /' scheint nichts zu lösen. –

Welchen Browser oder Mail-Client benutzen Sie? Vielleicht zielt es auf eine bestimmte Implementierung ab. IE11, Edge und Vivaldi konnten "/ @/0X0a290d92b" nicht öffnen. – Sascha

Es behandelt alles vor der @ as auth-Information, die an die URL übergeben wird. Die "echte" URL beginnt nach dem @, welches die codierte IP-Adresse ist, die vsminkov erwähnt hat. Der führende Schrägstrich wird also verworfen.

Ein einfacheres Beispiel zu lesen: http://username:[email protected]/

Es ist alles nur Schichten von Verschleierung.

Hier ein interessanter Link, der im Detail über es geht:

http://www.pc-help.org/obscure.htm

und hier ist RFC 2396 dass ein Teil der URL zu beschreiben:

URL-Schemata, die die direkte Verwendung eines einbeziehen IP-basierte Protokoll zu einem angegebenen Server im Internet verwenden eine gemeinsame Syntax für den Server Komponente der URI schemaspezifischen Daten:
<userinfo>@<host>:<port> 
wo aus einem Benutzernamen bestehen und gegebenenfalls scheme- spezifische Informationen darüber, wie Genehmigung zu erlangen, die Server zuzugreifen. Die Teile "@" und ":" dürfen weggelassen werden.
server  = [ [ userinfo "@" ] hostport ] 
Die Benutzerinformationen, falls vorhanden, wird von einer kommerziellen at-Zeichen "@" gefolgt.
userinfo  = *(unreserved | escaped | 
        ";" | ":" | "&" | "=" | "+" | "$" | ",") 

Quelle

2016-09-07 14:28:43

Vielleicht wenn es mit einem' @ 'begonnen hat, aber ein'/@ 'sollte absolut sein Pfad, weil es mit einem Schrägstrich beginnt und das Protokoll weggelassen wird. –

Das ist ein guter Link. –

Wenn die URL analysiert wird, bevor das @ herausgezogen wird, wird es in ein Anforderungsheaderfeld eingefügt und nach dem @ an die URL gesendet. Die URL, die aufgelöst wird, lautet daher/0X0a290d92b ... Sie extrahiert die Authentifizierungsinformationen (in diesem Fall nur einen umgekehrten Schrägstrich), bevor sie versucht, die URL aufzulösen. Ich werde versuchen, eine gute Referenz zu finden und hier zu posten. –

Wie es bereits in den Kommentaren @ is allowed in URL paths erwähnt wurde.

In Bezug auf URL-Auflösung. Ich nehme an, dass der Angreifer das <base>-Tag verwendet, um die Standard-URL für alle relativen Links im E-Mail-Hauptteil explizit festzulegen, und hofft, dass Ihr Browser/E-Mail-Client es für Sie löst.

UPDATE

Die ursprüngliche Vermutung könnte richtig sein, da es not supported by majority of mail clients

Nach ein bisschen Untersuchung ist eigentlich hex-codierte IPv4-Adresse 162.144.217.43 erkannte ich, dass 0x0A290D92B ist. Das einzige, was ich noch nicht verstanden habe, ist, wie es im Browser in http(s)://0x0A290D92B umgewandelt werden soll. Offenbar zielt der Angreifer auf das Verhalten bestimmter Browser/E-Mail-Clients ab.

Quelle

2016-09-01 22:09:34 vsminkov

Demnach funktionieren Basis-Tags nicht in E-Mail: http: // stackoverflow .com/questions/14611225/html-base-tag-in-email –

@NealFultz Ich bin fasziniert :) Können Sie irgendwo Raw E-Mail-Körper von Spam, die Sie erhalten? – vsminkov

Ich habe einen Link zu der rohen E-Mail in meiner Frage. –

Wie kann die a/@ URL in Spam gefunden werden?

Antwort

Verwandte Themen