0

没有问题:HTTP/HTTPS

当 defanging/disarming URL 方案时(例如使用python-defang):

  • http变成hXXp
  • https变成hXXps

所以,这里没有问题。

但是会发生什么:FTP/FTPS/FXP

但是,这些方案如何才能被正确地消除呢?

  • ftp变成fXp

    • 我怎么知道,如果给定的 URL 是 defanged 或者它是一个真正的 URL,它只是使用File eXchange Protocol (fxp)而不是 normal File Transfer Protocol (ftp)

  • ftps变成什么?fXps?

    • 什么是“官方去牙”版本ftps?!

  • fxp变成什么?fXxp?

    • 什么是“官方去牙”版本fxp?!

选择?

是否有类似除牙/解除武装的经验法则:只是为了确保 URL 在浏览器中不再工作,以便客户端不会意外打开恶意 URL?

4

1 回答 1

1

Link 的来源表明它只支持 HTTP HTTPS 和 FTP。不是 SFTP、FTPS 或 FXP。尽管通过更新init .py中的 PROTOCOL_TRANSLATIONS 列表来添加支持似乎微不足道

现代浏览器支持FXP:// SFTP:// 和 FTPS:// 。充其量单击这样的 URL 将显示一个外部应用程序启动对话框。类似于您通过磁力链接获得的内容。

根据经验; 如果严重的 URL 是目标。我会用其他东西代替':'。更改协议名称本身不会使 url 无效,只是不太可能被理解/存在。它仍然会被扩展、插件等解析,这可能足以触发 bad mojo。更改冒号会将它们呈现为字符串。

于 2019-05-15T13:06:44.813 回答