提醒 V 友, 防不胜防的钓鱼网址

已经开始写一个用于自动检测和给出警告、选择性 trust 或 block 的插件了 - -

详细页面里有提到修复方法

How to fix this in Firefox:
In your firefox location bar, type ‘ about:config ’ without quotes.
Do a search for ‘ punycode ’ without quotes.
You should see a parameter titled: network.IDN_show_punycode
Change the value from false to true.

chrome canary 已经修复,等稳定版更新

@geelaw 完成的话我可以帮你 append :)

牛逼啊，

版本 60.0.3072.0 canary (64-bit)
点进去显示出来的是不一样的...

点进去钓鱼站的地址， chrome 提示真实地址了

Firefox 直接停止加载并有页面提示
This is a page to demonstrate a unicode vulnerability that currently exists in Chrome and Firefox. The domain above is not the real epic.com. It is actually the unicode domain: https://www.xn--e1awd7f.com/

This demonstrates how attackers can use phishing campaigns to imitate legitimate domains and fool users into entering sensitive data on a malicious website.

Please click here to return to the blog post on wordfence.com discussing this issue.

This site is not epic.com and has no affiliation with epic.com or Epic Systems Corporation. This page is not endorsed in any way by the owners of epic.com. To visit the real epic.com, you can click here.

但证书显示通过，是 Let's Encrypt 颁发的

@legend4 这不是停止加载吧，页面就是这个内容吧

@legend4 心好累，证书通过不一定是安全,要看看颁发给谁,颁发给什么域名.
现在只能在 ctrl+shift+I 的 security 看了.

以前有直接小锁看.

支付 /购物 /药品 等网站验证证书是非常必要的,特别是在陌生电脑上

IDNA
在 IDN 规范里应该强制要求浏览器等应用在显示 IDN 时将 puncode 编码的字符以某种直观的可辨识的方式表示，以示其为非 ASCII 码字符。

晕，前面这么多提醒上钩的人还是不少。。

@aocif23 谢谢，方法有效。

@legend4 把这段英文看完你就会知道这段内容就是网站的正文，并不是浏览器提示。

Safari 直接显示就是 https://www.xn--e1awd7f.com ，无论 macOS 还是 iOS

360 极速浏览器：地址栏显示的就是“ https://www.xn--e1awd7f.com ”。为 Chrome Windows 鼓掌！~

点击第二个进去显示这个。
This is a page to demonstrate a unicode vulnerability that currently exists in Chrome and Firefox. The domain above is not the real epic.com. It is actually the unicode domain: https://www.xn--e1awd7f.com/

This demonstrates how attackers can use phishing campaigns to imitate legitimate domains and fool users into entering sensitive data on a malicious website.

Please click here to return to the blog post on wordfence.com discussing this issue.

This site is not epic.com and has no affiliation with epic.com or Epic Systems Corporation. This page is not endorsed in any way by the owners of epic.com. To visit the real epic.com, you can click here.

@505243267 终于看懂了。字体。。太屌了，正常人根本就注意不到

钓鱼网站做的太不上心，以至于小白还以为是浏览器拦截了正在查看的网页……

јԁ.com 已注册

厉害了我的域名


厉害了...我的 Windows Chrome

测试在 Mac 下 Chrome 看不出来区别， Safari 直接能显示原始网址

Chrome 点小锁可破

Chrome 地址栏才显示的有问题吗？

记得汉字里也有字形相同 /相近，但是 unicode 码不一样的。并且有个网页可以查询。有人记得这个工具的网址吗？

这个有什么问题吗？我的地址栏明明显示的是 https://www.xn--e1awd7f.com/ 啊

@walleL 老版本的 chrome ？在 chrome 57 上不显示了

@Akarin

https://codepoints.net/search?q=e

chrome 直接爆出来了 特殊字符

学到了， IDN 还能有这种玩法。 linux 下的 firefox 上完全看不出来区别
解决方法： about:config 中，把 network.IDN_show_punycode 键值设为 True

safari

感觉要是有人注册比如这个 xn--lipay-3ve 会防不胜防

吓得我赶紧更新了一下 Chrome ，最新的 dev 版本 59.0.3067.6 已经能分辨了

怎么实现的？

这是 let's encrypt 的锅啊...
因为 unicode 都有特定格式的，比如减号，给这种域名颁发证书肯定要人工审核的...
之后肯定吊销一大批这种证书……
伪装域名地址栏什么的 http 已经玩烂了，但是这是 https 啊...最大的信任是来自于那个地址栏和对应的绿色锁啊.

好屌

由于 Safari 过于落后，这个坑踩不到 (笑

@Mitt 23333

@Akarin #126 ( ส็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็ 　不了ส้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้)

这个问题很严重，我靠，吓死人。

我觉得 lets encrypt 迟早会增加限制算法，不然要被玩坏了。。。

Ubuntu Chrome 57.0.2987.133 ，启动命令里配置了 --ignore-certificate-errors ，这个网站直接打不开，出现下面的提示：

This is a page to demonstrate a unicode vulnerability that currently exists in Chrome and Firefox. The domain above is not the real epic.com. It is actually the unicode domain: https://www.xn--e1awd7f.com/

This demonstrates how attackers can use phishing campaigns to imitate legitimate domains and fool users into entering sensitive data on a malicious website.

Please click here to return to the blog post on wordfence.com discussing this issue.

This site is not epic.com and has no affiliation with epic.com or Epic Systems Corporation. This page is not endorsed in any way by the owners of epic.com. To visit the real epic.com, you can click here.

@Allianzcortex 这个提示就是那个网站的内容啊

@Jaylee 吓。。。

用 uc 国际版打开 明显示两个地址的。内容也不同

这个页面看起来没加样式，而浏览器的封禁提示都是有特殊样式的，为何会误认啊…

这一个贴是钓出多少小白和不看英文的人
"This is a page to demonstrate a unicode vulnerability that currently exists in Chrome and Firefox."
这网站第一句话这么大字写着 "这个页面展示了一个 chrome 和 firefox 的 unicode 漏洞", 真的不要再说这是浏览器提示了好么,看的都蛋疼了

楼主应该也贴一下原帖里写的 Firefox 对于这种冒牌网址的处理办法。

http://www.hostloc.com/?18756
http://www.hostloc.com/?25798
有没有大佬科普下这个两个一样的 ID 是怎么做到的。

@xspoco 用户不存在跳首页？

@legend4 这个‘钓鱼网站’页面就是这个内容，根本不是 FF 停止加载

@yankebupt 压根就不是 Let's Encrypt 的锅，自己看清楚证书颁发的域名

看到一群贴网站内容还说没问题的，逗乐我了

@iPhone8 能用这种域名的网站肯定是限定受众导向的啊，不然为什么不用英文域名？

这贴真正让我震惊的是……有那么多已经被钓鱼却还跟帖回复说没有问题没被钓鱼的人……

版本 57.0.2987.133 (64-bit)

Google Chrome 已是最新版本。

我想知道 chrome 刷到 60 的是怎么实现的？
PS:这 bug 真心恐怖~表示完全看不出来。

浏览器的锅。。。

关于楼主的插件我没有测试过，不过我猜测是要点击下插件按钮才会弹出真实域名？如果是这样的话，点击 chrome 的地址栏左边那个小锁其实包含了同样的功能。最后感谢楼主分享

chrome dev 版本显示真实域名

第一次发现 V2 上那么多人不懂英文

我这边 Win10 Chrome57 完全看不出来区别

ie 的大胜利

url 字体显示是有差异的

除了字距有一点点差别，肉眼单个看基本看不出。。。

@xspoco 一个设置了昵称为 suzizi ，一个用户名是 suzizi 。估计是这样。。。 ID 也不同啊

Chrome Version 57.0.2987.133 (64-bit)
OS: macOS 10.12.4
表示完全看不出差别.

@walleL 这是哪个版本的 Chrome ？最近的 Chrome 点小锁已经看不到证书了，只有打开开发者工具去 Security 选项卡才能看到……

@baihu 你的是稳定版本，还有 dev 版，金丝雀版

@o00o 666 啊。这个是打算做大事吗？我就问一句我可以入伙不。<-_<-

It is actually the unicode domain: https://www.xn--e1awd7f.com/

感谢

win chrome 也是：
This is a page to demonstrate a unicode vulnerability that currently exists in Chrome and Firefox. The domain above is not the real epic.com. It is actually the unicode domain: https://www.xn--e1awd7f.com/

This demonstrates how attackers can use phishing campaigns to imitate legitimate domains and fool users into entering sensitive data on a malicious website.

Please click here to return to the blog post on wordfence.com discussing this issue.

This site is not epic.com and has no affiliation with epic.com or Epic Systems Corporation. This page is not endorsed in any way by the owners of epic.com. To visit the real epic.com, you can click here.

@424778940 哈哈，确实，有些人一本正经的，我的 Chrome 拦截并提示

经测试， UC ， Edge 浏览器可以直接在地址栏显示真实地址； CentBrowser ，搜狗， 360 安全地址栏显示钓鱼地址，但 360 通过点击地址栏小锁可破，其他两个不可破。
over

unicode trap

什么鬼，内核为 50 的 360 极速自动跳转到原始域名了，而内核为 57 的 chrome 却没跳转。。。

@errorlife 不看英文内容也不看回帖，你贴的这段话是这个网站的内容，不是你的 chrome 提示你的，是这个网站做的 demo ，告诉大家这个域名有混淆。

@tammy 你这回复我无法回复，毫无因果关系的事情也能被你扯一起。你还是提高一下姿势水平吧。

@baihu chrome 有多个发布 channel: stable, dev, beta, canary

@baihu https://www.chromium.org/getting-involved/dev-channel 有详细说明。可以简单的通过图标分辨出来。

firefox52.0.2,没有任何提示，只看到证书不一样

360 极速没问题.....

@Aquamarine 同意

就是不知道能不能把大家钓进来😏😍😁

https://u.nu/5f

@liaa 你判断它是钓鱼网站的思路是什么， 万一真的有一个俄国人（我看评论说是俄语）碰巧使用了一个俄语域名和别的英文域名撞车了， 这种情况下你怎么区别的。

开始怀疑这个 v2 是不是真的

所以查看证书才那么重要. 可是现在 Chrome 只能调出开发者模式才能看证书, 不是点一下就能看了. 不好的设定.

@byfar #151
可能需要登陆下刷新。
http://www.hostloc.com/home.php?mod=space&uid=18756&do=index
http://www.hostloc.com/home.php?mod=space&uid=25798&do=index


@jackantony #166
就是 ID 不同但是用户名是一样的。。不是昵称， dz 又不能设置昵称。

天哪撸。 ff 和 chrome 都是这样

@msg7086 你的浏览器是 Vivaldi ？

@codehz 这刷得是不是有点快啊，我的才刚升级过……

@wpaygp 我的版本和你一样，你的打不开是什么意思？

@Aquamarine 是啊。

这个 bug 厉害了，有点可怕

@xspoco

说是 Let's Encrypt 的锅的人... 真的是... 唉~~

a herf="epic.com">epic.com
a href="钓鱼网址">epic.com

明白了么，这不是区分的问题……

我发现了。 WINDOWS 上是看不出来的。 MAC SAFARI 会显示真实地址。