Pages

Sep 25, 2007

16進数を使ったURL

Gmailにフィッシングメールが届いていた。”http://0xda3fa3e8/(途中省略)/authLogin/”というリンク付き。"http://0xda3fa3e8/"なんてアクセスできないだろうとおもってクリックしてみたら、ちゃんとフィッシングサイトが表示された。

なるほどブラウザは16進数のIPアドレスを解釈できるらしい。

どういう事かというと、、、たとえばブラウザのアドレスバーに以下のどれを入れてもApple.comにアクセスできる。

  1.  http://www.apple.com
    通常時

  2. http://17.149.160.10/
    IPアドレスを直接指定してアクセス

  3. http://0x1195a00a/
    16進数でIPアドレスを直接指定してアクセス

さらにITmedia News:8進数や16進数で検出回避する新手のスパムによると、この問題McAfeeは少なくとも今年の1月には発見し、注意を促していて、8進と16進と10進を混ぜるという手法も使えるらしい。

 このやり方で、例えばMcAfeeが運営するAvert LabsのIPアドレス(http://205.227.136.116)を表示すると、

http://0x00000cd.227.0000000000000000210.0x000000000074

といったURLが作成でき、クリックするとAvert Labsのサイトにつながる。

解説しておくと、0x00000cdは16進数、0000000000000000210は8進数。それらをURLに混在させた上に0を挿入することで(余分なゼロはブラウザが取り除いてくれる)フィルターをすり抜けようという悪あがきと思われる。

 

これを読んでいる皆さんは数字やアルファベットが無意味に並んでいて読めないURLはクリックしないようにしてください