Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1203001
  • 博文数量: 272
  • 博客积分: 3899
  • 博客等级: 中校
  • 技术积分: 4734
  • 用 户 组: 普通用户
  • 注册时间: 2012-06-15 14:53
文章分类

全部博文(272)

文章存档

2012年(272)

分类: 网络与安全

2012-06-25 16:38:02

Unicode String 用来钓鱼还是有搞头的。

之前在nukeblog上曾经写过俄文字符的 e 用来做url欺骗,不过nuke也只提出了一个猜想,因为这样的字符可能注册域名通不过。

详细可见:
http://www.nukeblog.cn/article/101.htm

今天看到老外也在blog上提到了这种思路,我想一种新的钓鱼方式可能会兴起。

我们知道比较老的钓鱼方式是注册一个类似的域名比如

来钓鱼,中间的1bm 数字 “1”,而不是字母 "i"

但是如果从欺骗性来说,一些非英文字母里的拉丁字符,可能会更具有视觉效果。

比如下面这个网站:

这里不是字母“a”,而是一个Cyrillic small letter a
unicode
码是: u+3004

看下他指向的link地址,居然是 

这种解码方式就是 punycode 编码

RFC3492 中有定义。

punycode
是出于扩展域名中的字符而撰写的。

原来域名中只允许ascii码,经过punycode 编码后,可以使用很多的unicode字符了。

浏览器默认会进行解码。

下面这个工具可以在线解码




所以,我们只需要注册一个 

就能够使用 

进行钓鱼攻击了,类似的字符还有很多!

阅读(1003) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~