我最近遇到了新的网络钓鱼攻击,该攻击使用@符号使 URL 看起来合法。事情是这样的:
我有一个帐户totally-legit-site.com,攻击者在他的 IP 上设置了一个钓鱼网站,例如192.168.50.20. 然后,他在该网站上向我发送了一条消息,其中包含看起来像的链接http://totally-legit-site.com@192.168.50.20/account。这用于欺骗用户认为这是指向合法网站的链接。
但是,单击此链接会192.168.50.20/account在我的浏览器(Google Chrome)中打开页面。我尝试在随机域之前添加随机内容@,并且我的浏览器总是正确解析页面,并将这些内容丢弃@。因此,如果我尝试打开http://test@google.com,我最终会进入 Google 的主页。
这真的让我很感兴趣。我无法找到有关@域之前的 URL 的任何信息。这怎么称呼?这是互联网早期阶段过时的东西吗?是否有一些网络服务器可以处理 URL 的这一部分(能够修改我的 nginx 实例以根据此参数返回不同的站点会很酷)?