301-Redirect

是否可以在屏蔽的伺服器端 301 重定向中顯示 URL?

  • March 7, 2021

我在一家搜尋監控公司工作,目前正在調查一些廣告,這些廣告將惡意 URL 隱藏在經過遮罩的伺服器端重定向中。當使用者點擊這些廣告時,他們會被重定向到位於伺服器上的帶有一些惡意程式碼的域,但該域被 URL 轉發服務(如 Porkbun)屏蔽,所以我們看到的只是屏蔽域,而不是一個在幕後。我想知道,是否有任何可能的方法來獲取隱藏的伺服器端 URL?或者有沒有辦法獲取有關隱藏 URL 的任何其他資訊?

編輯:原始答案沒有解決 OP 問題。這是我的第二次嘗試。請參閱下面的原始答案

評論

我正在使用 Chrome Inspect 菜單查看完整的重定向路徑。Chrome 確實顯示了位置響應標頭,但它僅在請求 URL 標頭部分中顯示遮罩 URL。

在實際的方面

此時我會考慮聯繫https://porkbun.com並解釋您的情況。向他們提供您迄今為止收集的證據(您可以分享的部分)。如果他們是合法企業,他們會討厭犯罪分子濫用他們的服務。他們有機會願意合作。

在技​​術方面

使用這些很少的資訊很難進行故障排除。

  • 如果您將真實瀏覽器指向惡意 URL,則惡意軟體可能會成功感染它並向您提供錯誤資訊

  • 這是另一種可能性:

    1. 惡意廣告包含指向https://porkbun.com/<path here>
    2. https://porkbun.com/<path here>是一個 301 重定向到https://<evil>.com/<more evil>
    3. https://<evil>.com/<more evil>不是HTTP 重定向,而是一個 HTML 頁面
      1. 執行攻擊
      2. 使用任意數量的HTMLJS技巧將瀏覽器導航到https://porkbun.com/<another path here>
        • 發生導航時,Chrome Inspect 可能會重置網路歷史記錄。這就是 Firefox 開發工具預設執行的操作。
  • 也許porkbun url 轉發確實會根據IP、地理位置、使用者代理字元串、cookie 或任何數量的其他因素提供不同的響應

    • 可能攻擊者使用 API 在點擊一次或一段時間後自動更改連結的目的地
    • 找到他們的完整功能集的一種可能方法是與他們簽約。如果他們有一項功能,您會在他們的管理 UI 中找到它
  • 你確定這是網址轉發服務嗎?豬肉包還提供託管服務。可能有一個攻擊者控制的伺服器託管在porkbun上,給你不同的響應

原來的答案

https://porkbun.com/products/url_forwarding不宣傳任何高級功能,例如嘗試將瀏覽器與任何其他使用者代理區分開來。它可能會向每個人發送相同的響應。在這種情況下,可以在Location 響應標頭中找到 url 。

我所看到的只是連結–> 遮罩域–> 登錄頁面。

聽起來您的 HTTP 客戶端會自動跟踪重定向並為您提供重定向鏈中的最後一個響應。

HTTP 重定向的工作原理:

  1. 客戶端請求https://example.com/foo
GET /foo HTTP/1.1
Host: example.com
  1. example.com 以重定向響應
HTTP/1.1 301 Moved Permanently
Location: https://en.wikipedia.org/wiki/HTTP_301
  1. 客戶端請求https://en.wikipedia.org/wiki/HTTP_301可能會再次重定向或以非重定向狀態程式碼響應

請查閱 HTTP 客戶端的文件,了解如何配置它以提供重定向鏈中所有 url 的列表。如果您的 HTTP 客戶端沒有這種能力,請使用不同的 HTTP 客戶端。例如,python requests 庫允許通過Response.history檢查重定向鏈中的所有響應

引用自:https://serverfault.com/questions/1056098