国家住所記号-フィッシングパラダイス？

みなさんこんにちは！



この小さな記事の素材は、私がかなり前に読んだ同様のテーマの別の記事によってもたらされました。 そして、私はランダムにキャッチされたトピックで少し遊んで、ゲームにハブロナロドを捧げることにしました。



今日は主にzone.rfについてです。 そして、ロシア連邦の著名な大統領のサイトでプレイします。



もちろん、これらの「ゲーム」は、ドメイン名に国のシンボルが含まれる他のサイトに合わせてスケーリングできます。 そして一般的に、この記事は大統領のウェブサイトをハッキングする方法ではなく、攻撃者が効果的に使用できる特定の瞬間の証拠と議論にすぎません。





はじめに

だからそれが起こった ！ 2010年5月12日にzone.rfの輝かしい存在が始まりました。その最初のパイオニアはhttp：//president.rfおよびhttp：// Government.rfサイトでした。住所のキリル文字に。 原則として、すでにhttp：// mail.rf 、 http：// yandeks.rf ...があります。 しかし、他の考えがあります...



理論

ご存知のように、zone.rfでは、キリル文字で名前を紹介する可能性があります。 これは、今日の調査の顕著な例です-サイトpresident.rf

Firefoxブラウザーのアドレスバーに名前を入力して起動すると、ユーザーは奇妙な組み合わせの急速な出現に気付く機会があります： xn-d1abbgf6aiiy.xn-p1ai -表示されるのは、DNSシステムでは理解できないキリル文字を、IDN表現で理解可能なラテン文字に変換したものです。 実際、DNSにはPresident.rfがありません。システムxn-d1abbgf6aiiy.xn-p1aiには奇妙だが理解しやすい名前しかありません。 同時に、接頭辞xn--は、名前がPunnycodeと呼ばれる一種のエンコーディングで表されていることを明確に示しています。



概念実証

私はこれを長い間見て、突然思い出しました-結局、多くのラテン文字がキリル文字とスペルが一致しているのです！ 文字「e」と「p」のスタイルはまったく同じですが、システムによって異なるため、合計で「president.rf」は複数のバージョンで表示されます。 名前にはそれぞれ4つの文字があり、目で見分けがつかない「president.rf」の2 ^ 4 = 16個のバリアントがあります。 唯一の違いはpunnycodeです。



便利なオンラインコンバーターを使用してアイデアを説明します（16のオプションすべてを提供するわけではありませんが、4つの実証的なオプションを提供します）。



http：//president.rf = http：//xn--d1abbgf6aiiy.xn--p1ai （これは大統領の実際のサイトです）

http：//president.rf = http：//xn--p-htbcbig1bj8a.xn--p1ai （偽の番号1）

http：//president.rf = http：//xn--e-htbdgf6aiiy.xn--p1ai （偽の番号2）

http：//president.rf = http：//xn--pee-oddog1bj8a.xn--p1ai （偽の番号3）



ご覧のとおり、「ロシア語」の名前に違いはありません。 しかし、これらはpunnycodeと自然の両方で異なるホストです。 「xn-- pee -oddog1bj8a.xn」のように、ハイフンで囲まれたラテン文字で何かが間違っていることがわかりますが、誰が気づくでしょうか？



結論

その結果、完璧なフィッシングトラップのみが得られます。サイトが侵害されると、攻撃者はユーザーが元のサイトで通常入力するすべての情報を非常に迅速に受信します。



この投稿を書いている時点では、このようなIDNドメインではラテン文字を使用することは基本的に不可能であるという制限は見つかりませんでした。 上部の例から、指定されたドメイン名に一致するホストIPアドレスが現時点ではないことを示すページが表示されます。 つまり、まだ購入されていません。 どれくらい？ ;）



道徳：

「あなたはいくつの言語を知っていますか-あなたは人間である回数」A.P.チェーホフ



PS現時点では、サイトpresident.rfからkremlin.ruへの自動リダイレクトが実行されます。 したがって、この記事は純粋な概念実証と見なされるべきですが、開発は可能です;）