有一次我检查邮件,其中一封可疑邮件包含许多看起来几乎相同的链接,
链接-1=>
https:// nxavcsqxn.blob.core.windows.net/omdnicmtm/e3a9rw.html#qs=op-aekfgahdhbeiikfaefejbehaejcfcjkaehjkeabaehjkeabackahcaccafgfacgicagbjgbacb
链接-2=>
https:// nxavcsqxn.blob.core.windows.net/omdnicmtm/e3a9rw.html#qs=ua-aekfgahdhbeiikfaefejbehaejcfcjkaehjkeabaehjkeabackahcaccafgfacgicagbjgbacb
这两个链接看起来相同,但它重定向到两个不同的URL
"qs=ua-"> "#qs=操作-">
我研究这两个环节已经有一段时间了,但没有得出好的结论关于最初的编辑器是如何创建这种url的任何想法。
检查这个这可能有助于
屏幕截图
检查HTML页面的源代码,它只有一行JavaScript:
document.location.href = 'http://example.com/'+window.location.href.split('#')[1];
因此,当页面加载时,脚本会检查URL中#之后的内容,并重定向到另一个重定向程序域。这两种情况最终是:
http://example.com/op-aekfgahdhbeiikfaefejbehaejcfcjkaehjkeabaehjkeabackahcaccafgfacgicagbjgbacb
http://example.com/ua-aekfgahdhbeiikfaefejbehaejcfcjkaehjkeabaehjkeabackahcaccafgfacgicagbjgbacb
它们变成不同的URL。