对一个利用短链接进行钓鱼行为的小小分析
简介:P收到一份钓鱼邮件,包含短链接::http://t.cn/akWIQ3,该短链接是一个钓鱼页面,骗取qq号码。P举报该情况到但是360卫士,360封了该站点。然过了不久继续访问该链接,仍然有效,但目标站点域名变了。这是为什么呢?
方法:利用webscrab抓包分析
分析:
1. 访问:http://t.cn/akWIQ3,实际上访问的是 118.123.6.143:81
1 GET http://118.123.6.143:81/ HTTP/1.1
2 Host: 118.123.6.143:81
3 Proxy-Connection: keep-alive
4 Cache-Control: max-age=0
5 User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_X_X)
6 ....
7 ...
2. 返回的响应数据
1 HTTP/1.1 200 OK
2 Content-length: 268
3 Content-Type: text/html
4 Content-Location: http://118.123.6.143:81/index.html
5 Last-Modified: Fri, 18 Nov 2011 02:51:59 GMT
6 Accept-Ranges: bytes
7 ETag: "2e782a9da5cc1:2698"
8 Server: Microsoft-IIS/6.0
9 X-Powered-By: ASP.NET
10 Date: Tue, 22 Nov 2011 11:11:46 GMT
11
12 <html>
13 <head>
14 <meta http-equiv="Content-Language" content="zh-CN">
15 <meta HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=gb2312">
16 <meta http-equiv="refresh" content="0.1;url=http://servivce.2288.org/">
17 <title></title>
18 </head>
19 <body>
20 </body>
21 </html>
3. 从步骤2可分析出,恶意url为:http://servivce.2288.org/,返回页面中关键数据:
1 <meta HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=gb2312">
2 <meta http-equiv="refresh" content="0.1;url=http://servivce.2288.org/">
其中 httpEquiv 属性的功能是把 content 属性连接到 HTTP 头部。一般的检测可能是通过检测http头部的refresh或重定向等。。通过http-equiv的确很隐蔽。其使用可参考:http://www.w3school.com.cn/tiy/t.asp?f=hdom_httpequiv2
http://www.w3school.com.cn/tiy/t.asp?f=hdom_httpequiv1
最后,,360对待举报太草率了,,嘻嘻,,抱怨一下
by the way,期待后天的 isf@shanghai
