识别和防御欺骗性网址

网络通信

Jason · 2004年4月5日

　　在Windows系统中，我们可以用“http(s)：//用户名：密码@服务器/资源.扩展名”的语法格式自动向Web站点发送用户验证的信息。然而，一些非法用户也会利用这一特点创建一个指向恶意Web站点的欺骗链接，该超链接看起来好像是合法的Web站点，但实际上打开的却是欺骗性的Web站点。

　　例如，在IE地址栏中输入http://www.a.com@www.b.com网址，按“回车”键后，IE浏览器表面上打开的是www.a.com这个网址，但实际上是打开了www.b.com这个网址。如果是Windows XP或Windows Server 2003的IE6浏览器，转到该网址后，地址栏还是老老实实地显示www.b.com网址(也就是实际打开的网址)，但Windows 2000系统的用户就要注意了，该类型的网址经过一些代码处理后，很容易让我们受骗。

　　一、识别真假URL

　　要识别当前打开的网站是否为以上所说的欺骗(冒牌)网址，可以采用以下任一种方法来判断：

　　1.在当前的IE窗口地址栏中键入双引号中的JavaScript语句“javascript：alert("Actual URL address:" + location.protocol + "//" + location.hostname + "/")；”，按“Enter(回车)”键后，JScript消息框将显示你正在访问的站点的实际URL地址(图1)，如果显示的地址跟地址栏显示的地址不符，那就说明该链接是欺骗网址；

　　2.在IE地址栏中键入“javascript:alert("The actual URL is:\t\t" + location.protocol + "//" + location.hostname + "/" + "\nThe address URL is:\t\t" + location.href + "\n" + "\nIf the server names do not match,this may be a spoof.");”语句，按“回车”键后，在弹出的JScript消息框中就会准确地显示出实际打开的网址和地址栏中显示的网址(图2)，如果发现这两个网址不相同，那就说明是欺骗性网址；

　　3.除了以上两种方法外，我们还可以使用IE中的“历史记录”来识别当前Web 站点的实际地址。在当前IE窗口中按“Ctrl+H”组合键打开历史记录窗口，然后点击“查看”中的“按今天访问的顺序”排列历史记录，找到当前窗口的记录，将地址栏中的URL与该记录中显示的地址进行比较，如果发现不相符，则说明该Web网址是欺骗性网址；

　　4.在超级链接上单击右键，选择“复制快捷方式”命令，然后到任一文本框中执行“粘贴”操作，就样就可以看到网址的全部内容，如果发现网址包含“%00、%01、@”中的任一个字串，则说明该网址很可能是欺骗性地址；

　　如发现当前打开的窗口和以上一种方法所说的那样，请即时按“Alt+F4”将当前窗口关闭。

　　二、防御方法

　　在怀疑该连接是欺骗性连接的情况下，尽量不要直接点击该链接进行访问，而是在地址栏中输入这个网址进行访问，如果不想用这种方法，那就给系统打上微软对此问题而推出的安全更新补丁。

　　首先到“http://www.microsoft.com/technet/security/Bulletin/MS04-004.asp”网页中选择相应版本链接，然后将该补丁程序下载下来。

　　安装完成后，IE和资源管理器就不再对该类网址包括“http://用户名：密码@网址”链接支持了，当用户试图键入或点击这类网址时，IE将会显示标题为“Invalid syntax error”的网页，不过仍然可以用“ftp://用户名：密码@服务器地址”来登录FTP站点。而且在默认情况下，该补丁只对IE浏览器和Windows资源管理器使用这一限制。如果要使这一限制应用到其他程序(如以IE为核心的浏览器)中，那就要修改注册表才可。

　　首先找到该程序的运行文件名(如brower.exe)，如果要让修改在所有用户中都有效，那就在“HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main\

FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE”下，新建一个名为brower.exe的双字节值，并且将其值修改为“1”；

　　如果让修改只在当前用户下有效，那就在“HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\

FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE”下，新建上文所说的brower.exe键值即可；

　　同样如果需要让IE和资源管理器对该类网址的支持，那就要在“HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main\

FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE”(所有用户)或“HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\

FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE”(当前用户)下分别新建名为iexplore.exe和explorer.exe的双字节值，然后将这两个键的值分别修改为“0”。