Ich habe kürzlich eine E-Mail erhalten, die den folgenden Chunk enthält (nicht klicken!):
%Vor%Hier ist ein Link zur rohen E-Mail: Ссылка
Soweit ich weiß, ist /@ keine gültige URL. Wie kann mein Browser eine Website auflösen?
Es wird alles vor der @ as auth-Information behandelt, die an die URL übergeben wird. Die "echte" URL beginnt nach dem @, welches die codierte IP-Adresse ist, die vsminkov erwähnt hat. Also wird der führende Schrägstrich verworfen.
Ein einfacher zu lesendes Beispiel: Ссылка
Es sind nur Schichten der Verschleierung.
Hier ist ein interessanter Link, der es ausführlicher behandelt:
RFC 2396 beschreibt diesen Teil der URL:
URL-Schemata, die die direkte Verwendung eines IP-basierten Protokolls für eine angegebene Server im Internet verwenden eine gemeinsame Syntax für den Server Bestandteil der schemaspezifischen Daten des URI:
%Vor%wo kann aus einem Benutzernamen und optional Schema bestehen spezifische Informationen darüber, wie Sie Zugang zum Internet erhalten können Server. Die Teile "@" und ":" können weggelassen werden.
%Vor%Auf die Benutzerinformationen, falls vorhanden, folgt ein kommerzielles At-Zeichen "@".
%Vor%
Wie bereits in Kommentaren erwähnt, ist @ in URL-Pfaden zulässig .
Zur URL-Auflösung. Ich nehme an, dass Angreifer das <base> -Tag verwenden, um die Standard-URL für alle relativen Links explizit festzulegen in E-Mail Körper und hofft, dass Ihr Browser / E-Mail-Client es für Sie auflösen wird.
AKTUALISIEREN
Die ursprüngliche Schätzung ist möglicherweise korrekt, da nicht von den meisten E-Mail-Clients unterstützt wird
Nach ein wenig Nachforschung wurde mir klar, dass 0x0A290D92B tatsächlich eine Hex-codierte IPv4-Adresse 162.144.217.43 ist. Das einzige, was ich noch nicht verstanden habe, ist, wie es im Browser in http(s)://0x0A290D92B umgewandelt werden soll. Es sieht so aus, als ob der Angreifer auf das Verhalten bestimmter Browser / E-Mail-Clients abzielt.
Tags und Links url email html-email uri obfuscation