0x00

最近家里人收到一条短信，短信内容大概是说是在某宝平台购买的XX商品无货了，需要用户进行退货操作，然后后面带有一条链接，长这样：

https://[email protected]/FIZK/Skak.html

如果对于计算机不太了解的人来说，一眼看去是不是很像某宝的网站？还好家里人留了个心眼，发给我看了一眼，避免了一次被骗的风险。

对于上面的链接，我们点击之后，实际上访问的地址是xxxxx.top/FIZK/Skak.html，而不是@符号之前的taobao.com。

为什么会这样？这就要说到URL的格式了。

0x01

URL（Uniform Resource Locator）全名是统一资源定位符，它是对互联网上所有可访问资源地址以及访问方式的一种统一表示方法。大白话来说就是网络地址，互联网上的每一份资源的URL都是唯一的。

一个完整的URL的组成由6部分组成：

• • 通信协议（scheme）

• • 主机（host）

• • 端口号（port）

• • 路径（path）

• • 查询（query）

• • 信息片段（fragment）

URL通用格式

<协议>：//<用户名>：<密码>@<主机域名或者ip地址>：<端口号>/<路径>；<参数>？<查询>#<片段>

其中必要的部分只有两个，就是协议和主机，以这个链接为例：

https://www.baidu.com/search?a=1

• • 其中https就是协议部分，也是目前互联网最常见的协议

• • www.baidu.com则是host部分，这里是使用的域名来表示

• • /search是路径部分，表示我们需要查找主机下的哪个资源

• • ?a=1则是查询参数部分

其它的部分则都省略了，用户名和密码以及信息片段都不存在，所以不需要输入。

端口的话，对于常见的协议，浏览器都会自动帮我们处理，比如https的默认端口是443，在请求地址是https链接时，浏览器会自动使用443端口和服务器建立连接。

0x02

那讲完URL格式之后，再回到这个钓鱼链接：

https://[email protected]/FIZK/Skak.html

我们就可以知道，它实际上是通过https协议，使用一个“taobao.com”的用户名，去请求了xxxxx.top主机中的/FIZK/Skak.html资源。

一般情况下，不会有网站要求携带用户名和密码进行访问的，所以如何避免这种钓鱼链接呢？

直接一刀切就行了，只要带@符号的链接，一律当成钓鱼网站处理。

加个星标关注不迷路 ★ 更多原创文章第一时间推送!
点赞，在看，分享，我都可以的

原文始发于微信公众号（混入安全圈的程序猿）：差点被骗了！看似合法的URL，实际上却是钓鱼网站