这是一个创建于 2777 天前的主题,其中的信息可能已经有所发展或是发生改变。
第 1 条附言 · 2017-04-16 15:18:12 +08:00
做了一个 Chrome 插件来防止被钓鱼, 希望对 V 友有用.
下载地址: https://chrome.google.com/webstore/detail/real-domain-name/lhbkkikjboiebjeghokpefafaahnfoff
GitHub: https://github.com/liaa/real_domain_name
下载地址: https://chrome.google.com/webstore/detail/real-domain-name/lhbkkikjboiebjeghokpefafaahnfoff
GitHub: https://github.com/liaa/real_domain_name
第 2 条附言 · 2017-04-18 23:39:12 +08:00
稍微更新了一下:
- 自动提示 (Notification)
- 危险标记
 |
101
geelaw 2017-04-16 15:04:35 +08:00  1
已经开始写一个用于自动检测和给出警告、选择性 trust 或 block 的插件了 - -
|
 |
102
aocif23 2017-04-16 15:22:52 +08:00 3
详细页面里有提到修复方法
How to fix this in Firefox: In your firefox location bar, type ‘ about:config ’ without quotes. Do a search for ‘ punycode ’ without quotes. You should see a parameter titled: network.IDN_show_punycode Change the value from false to true. chrome canary 已经修复,等稳定版更新 |
 |
104
fangxing204 2017-04-16 15:34:35 +08:00 via Android
牛逼啊,
|
 |
105
cnZary 2017-04-16 15:40:40 +08:00
版本 60.0.3072.0 canary (64-bit)
点进去显示出来的是不一样的... |
 |
106
Suddoo 2017-04-16 15:51:29 +08:00 via Android
点进去钓鱼站的地址, chrome 提示真实地址了
|
 |
107
legend4 2017-04-16 16:03:31 +08:00 via iPad
Firefox 直接停止加载并有页面提示
This is a page to demonstrate a unicode vulnerability that currently exists in Chrome and Firefox. The domain above is not the real epic.com. It is actually the unicode domain: https://www.xn--e1awd7f.com/ This demonstrates how attackers can use phishing campaigns to imitate legitimate domains and fool users into entering sensitive data on a malicious website. Please click here to return to the blog post on wordfence.com discussing this issue. This site is not epic.com and has no affiliation with epic.com or Epic Systems Corporation. This page is not endorsed in any way by the owners of epic.com. To visit the real epic.com, you can click here. 但证书显示通过,是 Let's Encrypt 颁发的 |
 |
109
lilifenghao44 2017-04-16 16:19:48 +08:00
@legend4 心好累,证书通过不一定是安全,要看看颁发给谁,颁发给什么域名.
现在只能在 ctrl+shift+I 的 security 看了. 以前有直接小锁看. 支付 /购物 /药品 等网站验证证书是非常必要的,特别是在陌生电脑上 |
 |
110
thekll 2017-04-16 16:30:03 +08:00 via iPhone
IDNA
在 IDN 规范里应该强制要求浏览器等应用在显示 IDN 时将 puncode 编码的字符以某种直观的可辨识的方式表示,以示其为非 ASCII 码字符。 |
 |
111
kava 2017-04-16 16:32:21 +08:00
晕,前面这么多提醒上钩的人还是不少。。
|
 |
114
kingcos 2017-04-16 17:23:55 +08:00
Safari 直接显示就是 https://www.xn--e1awd7f.com ,无论 macOS 还是 iOS
|
 |
115
Oucreate 2017-04-16 17:26:09 +08:00
360 极速浏览器:地址栏显示的就是“ https://www.xn--e1awd7f.com ”。为 Chrome Windows 鼓掌!~
|
 |
116
salary123 2017-04-16 17:40:38 +08:00
点击第二个进去显示这个。
This is a page to demonstrate a unicode vulnerability that currently exists in Chrome and Firefox. The domain above is not the real epic.com. It is actually the unicode domain: https://www.xn--e1awd7f.com/ This demonstrates how attackers can use phishing campaigns to imitate legitimate domains and fool users into entering sensitive data on a malicious website. Please click here to return to the blog post on wordfence.com discussing this issue. This site is not epic.com and has no affiliation with epic.com or Epic Systems Corporation. This page is not endorsed in any way by the owners of epic.com. To visit the real epic.com, you can click here. |
 |
118
wavingclear 2017-04-16 17:48:38 +08:00 2
钓鱼网站做的太不上心,以至于小白还以为是浏览器拦截了正在查看的网页……
|
 |
120
zoffy 2017-04-16 18:54:02 +08:00
厉害了我的域名
|
 |
121
buguniaogu 2017-04-16 18:58:10 +08:00
 ) |
 |
122
eric227 2017-04-16 19:15:32 +08:00
厉害了...我的 Windows Chrome
|
 |
123
pheyer 2017-04-16 19:23:56 +08:00
测试在 Mac 下 Chrome 看不出来区别, Safari 直接能显示原始网址
|
 |
124
walleL 2017-04-16 19:25:06 +08:00
 Chrome 点小锁可破 |
 |
125
v2chou 2017-04-16 19:25:09 +08:00
Chrome 地址栏才显示的有问题吗?
|
 |
126
Akarin 2017-04-16 20:18:42 +08:00
记得汉字里也有字形相同 /相近,但是 unicode 码不一样的。并且有个网页可以查询。有人记得这个工具的网址吗?
|
 |
127
billwang 2017-04-16 20:21:54 +08:00
这个有什么问题吗?我的地址栏明明显示的是 https://www.xn--e1awd7f.com/ 啊
|
 |
128
LuoLuoKaka 2017-04-16 20:40:41 +08:00
@walleL 老版本的 chrome ?在 chrome 57 上不显示了
|
 |
129
lianyue 2017-04-16 20:41:14 +08:00
|
 |
130
caiya21 2017-04-16 20:50:18 +08:00
chrome 直接爆出来了 特殊字符
|
 |
131
enotx 2017-04-16 20:55:22 +08:00
学到了, IDN 还能有这种玩法。 linux 下的 firefox 上完全看不出来区别
解决方法: about:config 中,把 network.IDN_show_punycode 键值设为 True |
 |
132
Heavytiger 2017-04-16 20:58:37 +08:00
safari
|
 |
133
mianju 2017-04-16 21:45:11 +08:00
感觉要是有人注册比如这个 xn--lipay-3ve 会防不胜防
|
 |
134
malagebidi 2017-04-16 21:57:57 +08:00
吓得我赶紧更新了一下 Chrome ,最新的 dev 版本 59.0.3067.6 已经能分辨了
|
 |
135
macroideal 2017-04-16 22:00:52 +08:00
怎么实现的?
|
 |
136
yankebupt 2017-04-16 22:59:03 +08:00
这是 let's encrypt 的锅啊...
因为 unicode 都有特定格式的,比如减号,给这种域名颁发证书肯定要人工审核的... 之后肯定吊销一大批这种证书…… 伪装域名地址栏什么的 http 已经玩烂了,但是这是 https 啊...最大的信任是来自于那个地址栏和对应的绿色锁啊. |
 |
137
mingyun 2017-04-16 23:02:16 +08:00
好屌
|
 |
138
Mitt 2017-04-16 23:12:57 +08:00
由于 Safari 过于落后,这个坑踩不到 (笑
|
 |
140
xiaopenyou 2017-04-16 23:33:43 +08:00
@Akarin #126 ( ส็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็ 不了ส้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้)
|
 |
141
brotherlegend 2017-04-16 23:45:45 +08:00
这个问题很严重,我靠,吓死人。
|
 |
142
xbb7766 2017-04-16 23:53:55 +08:00 via Android
我觉得 lets encrypt 迟早会增加限制算法,不然要被玩坏了。。。
|
 |
143
Allianzcortex 2017-04-16 23:55:26 +08:00
Ubuntu Chrome 57.0.2987.133 ,启动命令里配置了 --ignore-certificate-errors ,这个网站直接打不开,出现下面的提示:
This is a page to demonstrate a unicode vulnerability that currently exists in Chrome and Firefox. The domain above is not the real epic.com. It is actually the unicode domain: https://www.xn--e1awd7f.com/ This demonstrates how attackers can use phishing campaigns to imitate legitimate domains and fool users into entering sensitive data on a malicious website. Please click here to return to the blog post on wordfence.com discussing this issue. This site is not epic.com and has no affiliation with epic.com or Epic Systems Corporation. This page is not endorsed in any way by the owners of epic.com. To visit the real epic.com, you can click here. |
 |
144
Jaylee 2017-04-16 23:59:13 +08:00 1
@Allianzcortex 这个提示就是那个网站的内容啊
|
|
145
Allianzcortex 2017-04-17 00:01:17 +08:00
@Jaylee 吓。。。
|
 |
146
jcwtime 2017-04-17 00:22:02 +08:00 via Android
用 uc 国际版打开 明显示两个地址的。内容也不同
|
 |
147
coolcfan 2017-04-17 00:38:29 +08:00 via Android
这个页面看起来没加样式,而浏览器的封禁提示都是有特殊样式的,为何会误认啊…
|
 |
148
424778940 2017-04-17 00:59:53 +08:00 3
这一个贴是钓出多少小白和不看英文的人
"This is a page to demonstrate a unicode vulnerability that currently exists in Chrome and Firefox." 这网站第一句话这么大字写着 "这个页面展示了一个 chrome 和 firefox 的 unicode 漏洞", 真的不要再说这是浏览器提示了好么,看的都蛋疼了 |
 |
149
laydown 2017-04-17 01:22:01 +08:00
楼主应该也贴一下原帖里写的 Firefox 对于这种冒牌网址的处理办法。
|
 |
150
xspoco 2017-04-17 02:19:14 +08:00
|
 |
154
jinghangdayunhe 2017-04-17 09:31:36 +08:00
看到一群贴网站内容还说没问题的,逗乐我了
|
 |
156
morethansean 2017-04-17 09:59:08 +08:00
这贴真正让我震惊的是……有那么多已经被钓鱼却还跟帖回复说没有问题没被钓鱼的人……
|
 |
157
baihu 2017-04-17 10:01:26 +08:00
版本 57.0.2987.133 (64-bit)
Google Chrome 已是最新版本。 我想知道 chrome 刷到 60 的是怎么实现的? PS:这 bug 真心恐怖~表示完全看不出来。 |
 |
158
neighbads 2017-04-17 10:01:59 +08:00
浏览器的锅。。。
|
 |
159
scriptkid 2017-04-17 10:03:19 +08:00
关于楼主的插件我没有测试过,不过我猜测是要点击下插件按钮才会弹出真实域名?如果是这样的话,点击 chrome 的地址栏左边那个小锁其实包含了同样的功能。最后感谢楼主分享
|
 |
160
wudanyang 2017-04-17 10:05:49 +08:00
chrome dev 版本显示真实域名
|
 |
161
glasslion 2017-04-17 10:18:59 +08:00
第一次发现 V2 上那么多人不懂英文
|
 |
162
killerv 2017-04-17 10:19:09 +08:00
我这边 Win10 Chrome57 完全看不出来区别
|
 |
163
murmur 2017-04-17 10:21:43 +08:00
ie 的大胜利
|
 |
164
kmahyyg 2017-04-17 10:25:09 +08:00 via Android
url 字体显示是有差异的
|
 |
165
vjnjc 2017-04-17 10:30:23 +08:00
除了字距有一点点差别,肉眼单个看基本看不出。。。
|
 |
166
jackantony 2017-04-17 10:30:45 +08:00
@xspoco 一个设置了昵称为 suzizi ,一个用户名是 suzizi 。估计是这样。。。 ID 也不同啊
|
 |
167
banxi1988 2017-04-17 10:31:57 +08:00
Chrome Version 57.0.2987.133 (64-bit)
OS: macOS 10.12.4 表示完全看不出差别. |
 |
168
essethon 2017-04-17 10:34:35 +08:00
@walleL 这是哪个版本的 Chrome ?最近的 Chrome 点小锁已经看不到证书了,只有打开开发者工具去 Security 选项卡才能看到……
|
 |
170
AlisaDestiny 2017-04-17 10:52:07 +08:00
@o00o 666 啊。这个是打算做大事吗?我就问一句我可以入伙不。<-_<-
|
 |
171
homlean 2017-04-17 11:00:21 +08:00
It is actually the unicode domain: https://www.xn--e1awd7f.com/
|
 |
172
yulitian888 2017-04-17 11:04:32 +08:00
感谢
|
 |
173
errorlife 2017-04-17 11:07:07 +08:00
win chrome 也是:
This is a page to demonstrate a unicode vulnerability that currently exists in Chrome and Firefox. The domain above is not the real epic.com. It is actually the unicode domain: https://www.xn--e1awd7f.com/ This demonstrates how attackers can use phishing campaigns to imitate legitimate domains and fool users into entering sensitive data on a malicious website. Please click here to return to the blog post on wordfence.com discussing this issue. This site is not epic.com and has no affiliation with epic.com or Epic Systems Corporation. This page is not endorsed in any way by the owners of epic.com. To visit the real epic.com, you can click here. |
 |
175
HUAXIA 2017-04-17 11:16:47 +08:00
经测试, UC , Edge 浏览器可以直接在地址栏显示真实地址; CentBrowser ,搜狗, 360 安全地址栏显示钓鱼地址,但 360 通过点击地址栏小锁可破,其他两个不可破。
over |
 |
176
kacong 2017-04-17 11:17:30 +08:00
unicode trap
|
 |
177
580a388da131 2017-04-17 11:20:20 +08:00
什么鬼,内核为 50 的 360 极速自动跳转到原始域名了,而内核为 57 的 chrome 却没跳转。。。
|
 |
178
zhangneww 2017-04-17 11:31:23 +08:00
@errorlife 不看英文内容也不看回帖,你贴的这段话是这个网站的内容,不是你的 chrome 提示你的,是这个网站做的 demo ,告诉大家这个域名有混淆。
|
 |
181
tlday 2017-04-17 11:56:10 +08:00
@baihu https://www.chromium.org/getting-involved/dev-channel 有详细说明。可以简单的通过图标分辨出来。
|
 |
182
annielong 2017-04-17 13:10:42 +08:00
firefox52.0.2,没有任何提示,只看到证书不一样
|
 |
183
MushishiXian 2017-04-17 13:51:49 +08:00
360 极速没问题.....
|
 |
184
caty 2017-04-17 14:30:42 +08:00 via iPhone
@Aquamarine 同意
|
 |
185
parvin 2017-04-17 14:50:27 +08:00
|
 |
186
3b295 2017-04-17 15:05:58 +08:00
@liaa 你判断它是钓鱼网站的思路是什么, 万一真的有一个俄国人(我看评论说是俄语)碰巧使用了一个俄语域名和别的英文域名撞车了, 这种情况下你怎么区别的。
|
 |
187
lyzy 2017-04-17 17:10:46 +08:00 via Android 1
开始怀疑这个 v2 是不是真的
|
 |
188
iugo 2017-04-17 17:37:30 +08:00
所以查看证书才那么重要. 可是现在 Chrome 只能调出开发者模式才能看证书, 不是点一下就能看了. 不好的设定.
|
|
189
xspoco 2017-04-17 18:05:35 +08:00
@byfar #151
可能需要登陆下刷新。 http://www.hostloc.com/home.php?mod=space&uid=18756&do=index http://www.hostloc.com/home.php?mod=space&uid=25798&do=index @jackantony #166 就是 ID 不同但是用户名是一样的。。不是昵称, dz 又不能设置昵称。  |
 |
190
pysama 2017-04-17 18:11:02 +08:00
天哪撸。 ff 和 chrome 都是这样
|
 |
191
Aquamarine 2017-04-17 19:53:07 +08:00
@msg7086 你的浏览器是 Vivaldi ?
|
|
192
Aquamarine 2017-04-17 19:54:52 +08:00
@codehz 这刷得是不是有点快啊,我的才刚升级过……
|
|
193
Aquamarine 2017-04-17 19:57:50 +08:00
@wpaygp 我的版本和你一样,你的打不开是什么意思?
|
 |
194
msg7086 2017-04-18 01:23:02 +08:00
@Aquamarine 是啊。
|
 |
195
Doge2017 2017-04-18 08:57:44 +08:00
这个 bug 厉害了,有点可怕
|
 |
197
iyannik0215 2017-04-18 10:37:39 +08:00
说是 Let's Encrypt 的锅的人... 真的是... 唉~~
|
 |
198
sunsan05 2017-04-18 16:25:33 +08:00
|
|
199
sunsan05 2017-04-18 16:54:03 +08:00
我发现了。 WINDOWS 上是看不出来的。 MAC SAFARI 会显示真实地址。
|
 |
200
doubleflower 2017-04-19 10:11:02 +08:00
|
Select Language