IDN欺騙是釣魚式攻擊的手法之一。它利用國際化網域名稱(IDN)可以以Unicode字元命名網址的特性,透過同形異義字,魚目混珠。
同形異義字
Unicode有許多同形異義字,例如西里爾字母的小楷а(U+0430)和拉丁字母、即英文的a(U+0061),在許多字型中都看不出有甚麼不同。於是,入侵者便可用此來欺騙使用者。這稱為同形異義字欺騙。
例如入侵者可以注冊一個和著名網站差不多的網址名。例如有西里爾字母的pаypal.com。這不是新橋段。例如以數字0偽裝英文字母O(G00GLE.COM -> GOOGLE.COM),i的大楷I或數字1偽裝L小楷的l(google.com -> googIe.com),rn(r與n)偽裝m等。
分辨
只需使用簡單的程式碼便能分出。
var first="а", //U+0430
second="a"; //U+0061
alert(first==second); //輸出false
防止方法
外部連結
- Simple Script Detection:顯示網址有沒有異常字元的工具
- Ency:IDN欺騙 - [Mozcn Wiki - Mozilla 知識庫:Mozilla處理IDN欺騙的方法
這是一篇與網路相關的小作品。您可以透過編輯或修訂擴充其內容。 |
Wikiwand in your browser!
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.