前两天写了篇blog讲这种钓鱼：IE地址栏里字符转化的一个小特性

今天咱们部门捕获到一个这样的钓鱼链接，算是非常典型的一个例子，一个链接中利用了两个漏洞



kr.rd.yahoo.com 是韩国yahoo，在二级目录加个 * 号则会跳转到后面的url(不加*则不会跳转)。

但是韩国yahoo是使用白名单进行跳转判断，如果不是yahoo.com的域，就不进行跳转了

比如 

*

就会变成

所以为了绕过韩国yahoo的这次判断，钓鱼网站就利用了IE转化字符的功能

\auction.yahoo.com/item_detali.asp?0db2=2117

理想的时候，在IE里会变成 /auction.yahoo.com/item_detali.asp?0db2=2117

可是发现这样还是会被检测到，所以就把 \ 改成了 %5c，最终绕过了判断

%5cauction.yahoo.com/item_detali.asp?0db2=2117

至于为什么要找个302跳转？ 因为在很多时候，有一个合法的域名，能够使得钓鱼网站绕过更多的安全检查。