主要观点总结
Google新开放包括.zip在内的多个通用顶级域名(gTLD),引发安全研究人员警惕。含有特定Unicode字符和@符号的恶意URL可能欺骗计算机高手。安全专家指出,利用RFC 3986规定的某些特性可构建迷惑性极强的恶意URL。
关键观点总结
关键观点1: Google开放包括.zip在内的多个新gTLD,安全研究人员担心被用于创建恶意URL。
Google于2023年5月宣布开放包括.zip和.mov在内的8个新gTLD,安全专家担心这些域名会被用于创建迷惑性强、危险性高的恶意URL。
关键观点2: 含有特定字符的恶意URL可欺骗计算机高手。
含有特定Unicode字符(如U+2044、U+2215等)和@符号的恶意URL具有极强的迷惑性,甚至能欺骗经验丰富的用户。
关键观点3: 利用RFC 3986的规定创建迷惑性恶意URL。
安全专家利用RFC 3986中关于URI语法的规定,结合常用的编程语言如PHP的parse_url函数,创建出迷惑性强的恶意URL。
关键观点4: 防范恶意URL的安全建议。
建议在单击URL之前,先悬停在该URL上并检查浏览器底部显示的真正要访问的URL来源。同时,要小心含有特殊字符和符号的URL,尤其是那些看起来与正常URL相似但含有迷惑性元素的URL。
文章预览
Google 于 2023 年 5 月 10 日全面开放了以 .zip 结尾的域名,这一举动引起了安全研究人员和社区的警惕,他们担心该通用顶级域名(gTLD,Generic top-level domains)会被用于创建足以迷惑计算机高手的恶意 URL。 2023 年 5 月 3 日,Google 宣布了包括 .zip 和 .mov 在内的 8 个全新的通用顶级域名: .dad .phd .prof .esq .foo .zip .mov .nexus 并于 5 月 10 日通过 Google Domains 向公众开放注册。 ❝ Google Domains 是 Google 提供的一项域名注册和管理服务,支持用户搜索和注册域名 小心!含有 .zip 的恶意 URL 安全研究员 Bobby Rauch 指出(The Dangers of Google’s .zip TLD https://medium.com/@bobbyrsec/the-dangers-of-googles-zip-tld-5e1e675e59a5 ),要警惕含有 .zip 、Unicode 字符(特别是 U+2044、U+2215 等)以及 @ 符号的恶意 URL。这类恶意 URL 迷惑性极强,甚至能欺骗十分有经验的用户。 若点击 https://google.com@b
………………………………
