Hadmut Danisch

Ansichten eines Informatikers

Originelle Phishing-URL-Schreibweise

Hadmut
7.1.2007 1:30

Eben mal wieder eine Phishing-Mail bekommen. Diese Schreibweise zur “Verschleierung” einer IP-Adresse ist mal wieder orginell: http://0x48.0x09.0xe4.0xdb/cgi_bin/webscr/ Eigentlich ist gar nichts verschleiert, sondern einfach eine normale IP-Adresse hingeschrieben. Manche Browser verwenden offenbar Libraries zum Parsen der Zahlen im URL, die auch anderen Basis-Darstellungen schlucken (vermutlich dann auch oktal). Man müßte man nachprüfen, ob so ein URL überhaupt standardkonform ist. Wenn nicht, dann wäre das mal wieder ein Sicherheitsloch im Browser, weil ein URL mit einer IP-Adresse angenommen wird, den ein Phishing-Scanner vorher nicht detektiert, der als Pattern nur Dezimalzahlen sucht.