我在一家搜尋監控公司工作，目前正在調查一些廣告，這些廣告將惡意 URL 隱藏在經過遮罩的伺服器端重定向中。當使用者點擊這些廣告時，他們會被重定向到位於伺服器上的帶有一些惡意程式碼的域，但該域被 URL 轉發服務（如 Porkbun）屏蔽，所以我們看到的只是屏蔽域，而不是一個在幕後。我想知道，是否有任何可能的方法來獲取隱藏的伺服器端 URL？或者有沒有辦法獲取有關隱藏 URL 的任何其他資訊？

編輯：原始答案沒有解決 OP 問題。這是我的第二次嘗試。請參閱下面的原始答案

評論

我正在使用 Chrome Inspect 菜單查看完整的重定向路徑。Chrome 確實顯示了位置響應標頭，但它僅在請求 URL 標頭部分中顯示遮罩 URL。

在實際的方面

此時我會考慮聯繫https://porkbun.com並解釋您的情況。向他們提供您迄今為止收集的證據（您可以分享的部分）。如果他們是合法企業，他們會討厭犯罪分子濫用他們的服務。他們有機會願意合作。

在技​​術方面

使用這些很少的資訊很難進行故障排除。

• 如果您將真實瀏覽器指向惡意 URL，則惡意軟體可能會成功感染它並向您提供錯誤資訊

• 這是另一種可能性：

  1. 惡意廣告包含指向https://porkbun.com/<path here>
  2. https://porkbun.com/<path here>是一個 301 重定向到https://<evil>.com/<more evil>
  3. https://<evil>.com/<more evil>不是HTTP 重定向，而是一個 HTML 頁面
     1. 執行攻擊
     2. 使用任意數量的HTML或JS技巧將瀏覽器導航到https://porkbun.com/<another path here>
        • 發生導航時，Chrome Inspect 可能會重置網路歷史記錄。這就是 Firefox 開發工具預設執行的操作。

• 也許porkbun url 轉發確實會根據IP、地理位置、使用者代理字元串、cookie 或任何數量的其他因素提供不同的響應

  • 可能攻擊者使用 API 在點擊一次或一段時間後自動更改連結的目的地
  • 找到他們的完整功能集的一種可能方法是與他們簽約。如果他們有一項功能，您會在他們的管理 UI 中找到它

• 你確定這是網址轉發服務嗎？豬肉包還提供託管服務。可能有一個攻擊者控制的伺服器託管在porkbun上，給你不同的響應

原來的答案

https://porkbun.com/products/url_forwarding不宣傳任何高級功能，例如嘗試將瀏覽器與任何其他使用者代理區分開來。它可能會向每個人發送相同的響應。在這種情況下，可以在Location 響應標頭中找到 url 。

我所看到的只是連結–> 遮罩域–> 登錄頁面。

聽起來您的 HTTP 客戶端會自動跟踪重定向並為您提供重定向鏈中的最後一個響應。

HTTP 重定向的工作原理：

1. 客戶端請求https://example.com/foo

GET /foo HTTP/1.1
Host: example.com

2. example.com 以重定向響應

HTTP/1.1 301 Moved Permanently
Location: https://en.wikipedia.org/wiki/HTTP_301

3. 客戶端請求https://en.wikipedia.org/wiki/HTTP_301可能會再次重定向或以非重定向狀態程式碼響應

請查閱 HTTP 客戶端的文件，了解如何配置它以提供重定向鏈中所有 url 的列表。如果您的 HTTP 客戶端沒有這種能力，請使用不同的 HTTP 客戶端。例如，python requests 庫允許通過Response.history檢查重定向鏈中的所有響應

引用自：https://serverfault.com/questions/1056098