ooo Asked: 2021-03-06 15:22:20 +0800 CST2021-03-06 15:22:20 +0800 CST 2021-03-06 15:22:20 +0800 CST 是否可以在屏蔽的服务器端 301 重定向中显示 URL? 772 我在一家搜索监控公司工作,目前正在调查一些广告,这些广告将恶意 URL 隐藏在经过掩码的服务器端重定向中。当用户点击这些广告时,他们会被重定向到位于服务器上的带有一些恶意代码的域,但该域被 URL 转发服务(如 Porkbun)屏蔽,所以我们看到的只是屏蔽域,而不是一个在幕后。我想知道,是否有任何可能的方法来获取隐藏的服务器端 URL?或者有没有办法获取有关隐藏 URL 的任何其他信息? forwarding 301-redirect url-routing 1 个回答 Voted Best Answer Andrey Bienkowski 2021-03-06T21:41:32+08:002021-03-06T21:41:32+08:00 编辑:原始答案没有解决 OP 问题。这是我的第二次尝试。请参阅下面的原始答案 操作评论 我正在使用 Chrome Inspect 菜单查看完整的重定向路径。Chrome 确实显示了位置响应标头,但它仅在请求 URL 标头部分中显示掩码 URL。 在实际的方面 此时我会考虑联系https://porkbun.com并解释您的情况。向他们提供您迄今为止收集的证据(您可以分享的部分)。如果他们是合法企业,他们会讨厌犯罪分子滥用他们的服务。他们有机会愿意合作。 在技术方面 使用这些很少的信息很难进行故障排除。 如果您将真实浏览器指向恶意 URL,则恶意软件可能会成功感染它并向您提供错误信息 这是另一种可能性: 恶意广告包含指向https://porkbun.com/<path here> https://porkbun.com/<path here>是一个 301 重定向到https://<evil>.com/<more evil> https://<evil>.com/<more evil>不是HTTP 重定向,而是一个 HTML 页面 执行攻击 使用任意数量的HTML或JS技巧将浏览器导航到https://porkbun.com/<another path here> 发生导航时,Chrome Inspect 可能会重置网络历史记录。这就是 Firefox 开发工具默认执行的操作。 也许porkbun url 转发确实会根据IP、地理位置、用户代理字符串、cookie 或任何数量的其他因素提供不同的响应 可能攻击者使用 API 在单击一次或一段时间后自动更改链接的目的地 找到他们的完整功能集的一种可能方法是与他们签约。如果他们有一项功能,您会在他们的管理 UI 中找到它 你确定这是网址转发服务吗?猪肉包还提供托管服务。可能有一个攻击者控制的服务器托管在porkbun上,给你不同的响应 原来的答案 https://porkbun.com/products/url_forwarding不宣传任何高级功能,例如尝试将浏览器与任何其他用户代理区分开来。它可能会向每个人发送相同的响应。在这种情况下,可以在Location 响应标头中找到 url 。 我所看到的只是链接--> 掩码域--> 登录页面。 听起来您的 HTTP 客户端会自动跟踪重定向并为您提供重定向链中的最后一个响应。 HTTP 重定向的工作原理: 客户端请求https://example.com/foo GET /foo HTTP/1.1 Host: example.com example.com 以重定向响应 HTTP/1.1 301 Moved Permanently Location: https://en.wikipedia.org/wiki/HTTP_301 客户端请求https://en.wikipedia.org/wiki/HTTP_301可能会再次重定向或以非重定向状态代码响应 请查阅 HTTP 客户端的文档,了解如何配置它以提供重定向链中所有 url 的列表。如果您的 HTTP 客户端没有这种能力,请使用不同的 HTTP 客户端。例如,python requests 库允许通过Response.history检查重定向链中的所有响应
编辑:原始答案没有解决 OP 问题。这是我的第二次尝试。请参阅下面的原始答案
操作评论
在实际的方面
此时我会考虑联系https://porkbun.com并解释您的情况。向他们提供您迄今为止收集的证据(您可以分享的部分)。如果他们是合法企业,他们会讨厌犯罪分子滥用他们的服务。他们有机会愿意合作。
在技术方面
使用这些很少的信息很难进行故障排除。
如果您将真实浏览器指向恶意 URL,则恶意软件可能会成功感染它并向您提供错误信息
这是另一种可能性:
https://porkbun.com/<path here>https://porkbun.com/<path here>是一个 301 重定向到https://<evil>.com/<more evil>https://<evil>.com/<more evil>不是HTTP 重定向,而是一个 HTML 页面https://porkbun.com/<another path here>也许porkbun url 转发确实会根据IP、地理位置、用户代理字符串、cookie 或任何数量的其他因素提供不同的响应
你确定这是网址转发服务吗?猪肉包还提供托管服务。可能有一个攻击者控制的服务器托管在porkbun上,给你不同的响应
原来的答案
https://porkbun.com/products/url_forwarding不宣传任何高级功能,例如尝试将浏览器与任何其他用户代理区分开来。它可能会向每个人发送相同的响应。在这种情况下,可以在Location 响应标头中找到 url 。
听起来您的 HTTP 客户端会自动跟踪重定向并为您提供重定向链中的最后一个响应。
HTTP 重定向的工作原理:
请查阅 HTTP 客户端的文档,了解如何配置它以提供重定向链中所有 url 的列表。如果您的 HTTP 客户端没有这种能力,请使用不同的 HTTP 客户端。例如,python requests 库允许通过Response.history检查重定向链中的所有响应