如果错过互联网,与你擦肩而过的不仅仅是机会,而是整整一个时代。
浏览器在解析URL的时候默认丢掉@前面的所有东西。
比如 https://www.baidu.com@www.cnblogs.com/shenjuxian
不注意看的话会以为是百度的,其实跳转到了另一个网站,如果黑客在后面网站上挂马的话很容易就中招啦。
这里两个网址,看起来花里胡哨的,那如果后面跟一个ip呢:
https://www.baidu.com@111.229.229.111看起来就稍微不那么显眼啦
ip中的点还是很难受,那就将它变为纯数字,计算方式如下:
111*256^3 + 229*256^2 + 229*256 + 111然后构造url:https://www.baidu.com@1877337455
骚操作又学到了,大佬们太强了,这都能用起来。
| 方法一 | @ | http://www.a.com/login.html?url=http://www.a.com@b.com | 时的网站地址及url均为原网站,通过@跳转至目标网站。 |
| 方法二 | \ | http://www.a.com/login.html?url=http://www.b.com\a.com | 此时网站地址是原网站,但url是目标网站,通过 \ 绕过 \ 之后的网站。 |
| 方法三 | \\ | http://www.a.com/login.html?url=http://www.b.com\a.com | 此时网站地址是原网站,但url是目标网站,通过 \\ 绕过 \\ 之后的网站。 |
| 方法四 | ? | http://www.a.com/login.html?url=http://www.b.com?a.com | 此时网站地址是原网站,但url是目标网站,通过 ? 绕过 ? 之后的网站。 |
| 方法五 | # | http://www.a.com/login.html?url=http://www.b.com#a.com | 此时网站地址是原网站,但url是目标网站,通过 # 绕过 # 之后的网站。 |
| 方法六 | . | http://www.a.com/login.html?url=.b.com | 此时网站地址是原网站地址,但url是目标网站地址,由于 · 操作不易发现,所以可能会跳转至目标网站。 |
| 方法七 | 进制绕过 | http://www.a.com/login.html?url=http://78456382 | 此时网站地址是原网站,但由于url链接不明显,所以可能会绕过原网站直接进入目标网站。 |
| 方法八 | 缺失协议 | http://www.a.com/login.html?returnurl=http://www.b.com | 此时网站直接跳转至目标网站。 |
© 版权声明
温馨提示 : 非特殊注明,否则均为©李联华的博客网原创文章,本站文章未经授权禁止任何形式转载
THE END
暂无评论内容