稍微更新了一下:
1
mrjoel 2017-04-16 11:00:55 +08:00 via iPhone
NB
|
2
yaerma 2017-04-16 11:00:59 +08:00
这什么情况?
|
3
vizards 2017-04-16 11:02:08 +08:00 via iPhone
这有分辨不出吗……特殊字符到了地址栏不是会变吗
|
4
Tyanboot 2017-04-16 11:02:12 +08:00
分辨不出来,除了查看一下证书。。
|
5
hand515 2017-04-16 11:02:19 +08:00
两个不是一样吗?我都看不出哪里不同
|
6
allenlee7c9 2017-04-16 11:02:31 +08:00 via Android
不是英文字母?
|
7
mokeyjay 2017-04-16 11:02:46 +08:00
Windows 下 Chrome 看起来一模一样,大概是某个 unicode 字符?但是却没有被 url 编码,奇怪了
|
9
heart4lor 2017-04-16 11:03:09 +08:00
俄文 c?
|
10
x86 2017-04-16 11:03:33 +08:00
|
11
sunsol 2017-04-16 11:04:02 +08:00
这种还真难注意到
|
12
lavasing 2017-04-16 11:04:19 +08:00 via Android
https://ooo.0o0.ooo/2017/04/16/58f2deba8c1de.png
https://ooo.0o0.ooo/2017/04/16/58f2debaaa102.png 是不是用了西里尔字母? |
13
sunsol 2017-04-16 11:04:27 +08:00
一个其实是 https://www.\u0435\u0440\u0456\u0441.com/
|
14
iot 2017-04-16 11:04:51 +08:00
搞个显示 ip 的浏览器插件
|
15
microget 2017-04-16 11:08:39 +08:00
第二个点进去是提示这个
--------------------------------- This is a page to demonstrate a unicode vulnerability that currently exists in Chrome and Firefox. The domain above is not the real epic.com. It is actually the unicode domain: https://www.xn--e1awd7f.com/ This demonstrates how attackers can use phishing campaigns to imitate legitimate domains and fool users into entering sensitive data on a malicious website. Please click here to return to the blog post on wordfence.com discussing this issue. This site is not epic.com and has no affiliation with epic.com or Epic Systems Corporation. This page is not endorsed in any way by the owners of epic.com. To visit the real epic.com, you can click here. |
16
cy18 2017-04-16 11:08:55 +08:00
这钓鱼太给力了…… Chrome 表示完全看不出来……
|
17
geelaw 2017-04-16 11:16:52 +08:00
Edge 似乎要求你的电脑具有那种语言才能显示那个语言的 Unicode 域名
<img src=" "> |
18
fcj558 2017-04-16 11:18:52 +08:00 via iPad 4
很多论坛的 ID 也可以这样伪造,用的俄语字母。
|
19
sunsol 2017-04-16 11:21:09 +08:00
这个还跟 dns 有关, www.\u0435\u0440\u0456\u0441.com 用 idna 编码结果就是 www.xn--e1awd7f.com 才会这样。
|
20
jackantony 2017-04-16 11:21:12 +08:00
|
21
crab 2017-04-16 11:23:31 +08:00
@jackantony 这提示不是 chrome 触发的。是发现这个 unicode 漏洞问题的把这个域名挂了这个页面吧
|
22
zixianlei 2017-04-16 11:23:43 +08:00
这个就吊了!
|
23
geelaw 2017-04-16 11:23:52 +08:00
另外我当前的设置下 hover 链接之后会显示 ASCII 版本的域名,于是可以发现,但是如果粘贴 Unicode 域名到 address bar 会自动翻译为 ASCII 版本,因此“复制如下地址并粘贴”也能成功钓鱼。
|
24
xrlin 2017-04-16 11:27:20 +08:00 via iPhone
这个厉害,完全看不出来
|
25
Seymer 2017-04-16 11:27:51 +08:00 1
|
26
Sh888 2017-04-16 11:30:02 +08:00
very helpful
|
27
qqfs 2017-04-16 11:30:44 +08:00
666 不用 js 还看不出来 window.location.host 。
|
28
crab 2017-04-16 11:30:51 +08:00
|
29
hornets 2017-04-16 11:34:34 +08:00
<a href="https://www.epic.com/" rel="nofollow noopener">epic.com</a>
<a href="https://www.xn--e1awd7f.com/" rel="nofollow noopener">epic.com</a> 不太懂你是啥想法 |
30
FYK 2017-04-16 11:34:40 +08:00
同#15
|
31
Jacky001 2017-04-16 11:36:27 +08:00
mac 下 chrome 有提示
This is a page to demonstrate a unicode vulnerability that currently exists in Chrome and Firefox. The domain above is not the real epic.com. It is actually the unicode domain: https://www.xn--e1awd7f.com/ This demonstrates how attackers can use phishing campaigns to imitate legitimate domains and fool users into entering sensitive data on a malicious website. Please click here to return to the blog post on wordfence.com discussing this issue. This site is not epic.com and has no affiliation with epic.com or Epic Systems Corporation. This page is not endorsed in any way by the owners of epic.com. To visit the real epic.com, you can click here. |
32
iPhone8 2017-04-16 11:38:56 +08:00
|
33
mengzx 2017-04-16 11:38:57 +08:00 via Android
很有用,谢谢
|
34
Jacky001 2017-04-16 11:39:27 +08:00
我测试了 mac 和 windows 两个平台,四个浏览器,都要么有我上面说到的提示,要么自动显示正确的 url ,没法钓鱼吧
|
35
cy18 2017-04-16 11:39:27 +08:00
@jackantony 这个不是 Chrome 的提示,这个是后面那个网址里面的网站内容。后面那个网站是为了演示漏洞所以加了提示。如果由其他网站用这个漏洞搞钓鱼在 Chrome 里面完全看不出来……
|
37
bkmi 2017-04-16 11:43:01 +08:00
666 这个帖子也钓出不少小白啊,网页内容当提示的
|
38
iPhone8 2017-04-16 11:43:13 +08:00
@iPhone8 #32 我知道为什么你们惊呼了,因为你们用的 chrome ,我用的 Safari 没问题的。目测是 chrome 显示问题。 url 应该向 Safari 学习。
|
39
justfun 2017-04-16 11:44:06 +08:00
哈哈哈 楼上两位说浏览器有提示的好可爱
|
41
cabbage 2017-04-16 11:44:55 +08:00 via Android
其实这个特性是可以用来显示 emoji 域名的。。。没想到还能用来钓鱼
|
42
cabbage 2017-04-16 11:47:10 +08:00 via Android
https://❤️❤️❤️.ws/
就比方说这个 emoji 域名 |
43
phrack 2017-04-16 11:48:53 +08:00 via Android 1
没想到这个帖子钓出来不少小白´・ᴗ・`
|
44
zjqzxc 2017-04-16 11:51:28 +08:00
@hornets 29#
在 chrome 中,即使鼠标移动到下面那个链接上,显示的网址也是 www.epic.com ,点开后地址栏同样显示的时 www.epic.com ,不查看源代码的情况下,很难分辨。。 |
45
505243267 2017-04-16 11:51:59 +08:00
|
46
cuteshell 2017-04-16 11:52:13 +08:00
牛
|
47
jackantony 2017-04-16 11:53:09 +08:00
@phrack 纯外行进 V2EX 里来凑热闹的。。。小白见过大神
|
49
Blazings 2017-04-16 12:08:16 +08:00
chrome 下没办法分辨, 只有复制网址, 还有显示网站 IP 才能分辨, 太厉害了, 怎么做的
|
50
Aquamarine 2017-04-16 12:21:18 +08:00
|
52
zjqzxc 2017-04-16 12:25:00 +08:00
@505243267 并不是说无法分辨,而是很难分辨;一般来说打开网页扫一眼网址这个习惯的成本时很低的,但是打开一个网页还要把地址栏复制再粘贴出来,在网址很长的时候分辨域名就要产生很大操作成本了。
|
53
ksmter 2017-04-16 12:25:06 +08:00
|
55
Aquamarine 2017-04-16 12:31:32 +08:00
|
56
lilifenghao44 2017-04-16 12:32:41 +08:00 9
chrome 点击 https 不显示证书,就是一个愚蠢的改动
|
57
Aquamarine 2017-04-16 12:33:19 +08:00
@ksmter 这是字体的问题?
|
58
Aquamarine 2017-04-16 12:33:58 +08:00
@lilifenghao44 非常赞同,如我 50 楼所说,估计 Chrome 后续会有改进了。
|
59
ksmter 2017-04-16 12:52:43 +08:00
@Aquamarine 不是。只是通过字体就能看出这是有问题的网站,至少我是不会上当了
|
60
abmin521 2017-04-16 12:56:49 +08:00
@lilifenghao44 #56 https://www.cloudflare.com/ 可以显示
|
61
40huo 2017-04-16 12:56:52 +08:00
这个服气,一点也看不出来。。。
|
62
mojia 2017-04-16 12:57:15 +08:00
确实要注意啊
|
63
HuangLibo 2017-04-16 13:01:29 +08:00
Safari 大法好
|
64
Aquamarine 2017-04-16 13:03:56 +08:00
@abmin521 我估计 @lilifenghao44 和我 50 楼的意思一样,就是点击链接栏没发直接看到证书,要进入开发者工具才能看到,非常麻烦。
|
65
Jacky001 2017-04-16 13:04:47 +08:00 via iPhone
|
66
Aquamarine 2017-04-16 13:08:15 +08:00
@Jacky001 我也一样,因为地址栏看不到证书了,没法肉眼确认。刚刚搜索了才知道新版 Chrome 在哪儿看证书。
|
67
skylancer 2017-04-16 13:09:26 +08:00
首先要喷 Chrome ,检查证书居然要 F12 ,真心脑残的改动,以前多方便点一下就能看到了
另外 EDGE 是能在左下角显示正确的链接,鼠标移上去就能看到了 Chrome GGWP |
68
geelaw 2017-04-16 13:09:44 +08:00
@Aquamarine 不是,只是 Edge 没有选择显示一个用户不认识语言的域名名字。
|
70
peng2ex 2017-04-16 13:11:46 +08:00
用 chrome 打开 直接出现以下提示: 表示钓不到鱼
This is a page to demonstrate a unicode vulnerability that currently exists in Chrome and Firefox. The domain above is not the real epic.com. It is actually the unicode domain: https://www.xn--e1awd7f.com/ This demonstrates how attackers can use phishing campaigns to imitate legitimate domains and fool users into entering sensitive data on a malicious website. Please click here to return to the blog post on wordfence.com discussing this issue. This site is not epic.com and has no affiliation with epic.com or Epic Systems Corporation. This page is not endorsed in any way by the owners of epic.com. To visit the real epic.com, you can click here. |
72
codehz 2017-04-16 13:13:42 +08:00
为啥我 Chrome 是这个效果,我记得之前还是能支持 punycode 的显示的。。。现在那几个 emoji 域名也全部都是原始字符了。。。。
http://i1.piimg.com/567571/18ea34fc4f28a70a.png |
73
bearqq 2017-04-16 13:16:09 +08:00 via Android 3
我也来说两句
以前看过一个帖子,如何将 xss 的 js 地址缩短。域名当然越短越好,但是毕竟域名要砸钱,而且很难拿到很短的。那么可以从浏览器打主意。 首先是用中文等字符,酱.io 只要 5 个字符(是 5 吧?),而注册的域名却是长域名,便宜。 除了.以前的可以缩减,之后的也可以,比如著名的免费域名.ml ,可以缩减为.㎖,部分浏览器会将㎖解析为 ml 。就像把 www 。 baidu 。 com 解析为 www.baidu.com 那样。 所以,你们可以试试访问这个地址 http://酱.㎖ 年久失修,地址内容没了,不过不影响。 |
76
msg7086 2017-04-16 13:17:33 +08:00 1
|
77
Aquamarine 2017-04-16 13:30:36 +08:00
|
78
Aquamarine 2017-04-16 13:31:36 +08:00
@codehz 请问你的 Chrome 自带反钓鱼是如何实现的?求传授。
|
79
deljuven 2017-04-16 13:35:51 +08:00
具体来说是国际化域名(IDN)的锅, https://en.wikipedia.org/wiki/Internationalized_domain_name
不过确实来说是浏览器本身 feature 引入带来的安全性 bug …… |
80
jiao142857 2017-04-16 13:39:46 +08:00
复制不同的部分 粘贴得到的不一样(我是不是还没懂?
https://ooo.0o0.ooo/2017/04/16/58f303757142e.jpg |
81
aznmv3 2017-04-16 13:41:11 +08:00
@iPhone8 并不是什么超链接技巧,这是一个俄文域名,只是 chrome 支持你的电脑的语言跟 Unicode 域名的语言不一致时也能正常显示 Unicode 域名而不是只能显示转码后的网址。这是对 Unicode 域名支持不友好的表现,反而是 Safari 应该向 Chrome 学习。
|
82
Yvette 2017-04-16 13:44:49 +08:00
有点懵
|
83
msg7086 2017-04-16 13:46:10 +08:00
@Aquamarine 什么鬼?这地址栏不是很清楚了吗?为什么要看网页内容?
|
86
isCyan 2017-04-16 13:48:43 +08:00
桌面 Chrome 完全没区别,安卓 Chrome 可以看出来
|
87
nicevar 2017-04-16 13:49:30 +08:00
这个问题确实有点严重,普通用户很容易中招了
|
88
coolcoffee 2017-04-16 13:50:06 +08:00
眼见果然不能为实,使用编程语言的判断符,看起来明明一样的的,就是为 false 。
还好高等级的 EV 证书会直接显示公司名称。 话说回来,小白刚学完怎么防止域名钓鱼。结果时代变化,又要再多看一步证书来验证真伪了。 |
89
UnknownR 2017-04-16 13:56:07 +08:00
提示是这个网站本身的,这是个 demo 网站,和平台还有浏览器没关系。其次看证书就可以,但是对于普通用户完全是个无法分辨的完美网站
|
90
gzany 2017-04-16 13:57:27 +08:00
厉害!真搞个钓鱼高仿 chrome 下完全看不出来。
|
91
bearqq 2017-04-16 13:58:08 +08:00 via Android
@imgalaxy 嗯 原文有点长,好像提到了。视觉相同的字符也提到了,就像本帖这样的。许久以前的事了,最后笔记留下的就这个域名和符号㎖
|
92
bukip 2017-04-16 14:11:30 +08:00
This is a page to demonstrate a unicode vulnerability that currently exists in Chrome and Firefox. The domain above is not the real epic.com. It is actually the unicode domain: https://www.xn--e1awd7f.com/
This demonstrates how attackers can use phishing campaigns to imitate legitimate domains and fool users into entering sensitive data on a malicious website. Please click here to return to the blog post on wordfence.com discussing this issue. This site is not epic.com and has no affiliation with epic.com or Epic Systems Corporation. This page is not endorsed in any way by the owners of epic.com. To visit the real epic.com, you can click here. |
93
codehz 2017-04-16 14:11:41 +08:00
@Aquamarine 大概是版本问题, 我用的版本是 60.0.3072.0
PS: Chrome 居然已经把版本号刷到 60 了。。。。 |
94
aocif23 2017-04-16 14:29:43 +08:00
精了,火狐和 chrome 都 gg,但用 ie11(win8.1)居然能显示出原来的网址
|
95
wpaygp 2017-04-16 14:36:47 +08:00
用 Chrome 表示打不开钓鱼网址 你们用的是假 Chrome 吗
|
96
ks3825 2017-04-16 14:37:02 +08:00 via Android
持续关注…我是肯定会中招了,一般情况下防不住
|
98
vinsony 2017-04-16 14:49:24 +08:00 1
火狐和 chrome 自作聪明的 url 显示方式本来就很 sb
|
99
iPhone8 2017-04-16 14:56:34 +08:00
|
100
iRiven 2017-04-16 14:57:30 +08:00 via Android
Android chrome 完全看不出来
|