1. 检测 IDN 同形异义字钓鱼链接
安全分析师背景
分析师在分析一封钓鱼邮件时,发现了一个看起来完全正常的知名品牌链接,怀疑其使用了混合字符集。
问题
需要在不访问该网站的情况下,确认该域名是否使用了非拉丁字符进行伪装。
如何使用
将可疑的 URL 粘贴到输入框中并提交分析。
https://аpple.com/结果
工具立即检测出该域名包含西里尔字母,并展示其真实的 Punycode 形式,将风险评级标记为 Critical(严重)。
Elysia Tools
导航
Security
通过深度结构分析检测 URL 中的钓鱼和欺诈信号——punycode/IDN 同形异义攻击(拉丁/西里尔混合)、嵌入凭据(user:pass@host 把戏)、高风险 TLD、双重编码与控制字符走私、子域品牌欺骗、数字/IP 主机混淆。仅静态分析,无网络。补充 URL Validator(它做基础协议/IP 检查)。
详情
本工具通过对单个 URL 的结构做深度钓鱼/欺诈检测。它有意与 URL Validator 互补:后者检查基础协议/IP/XSS 信号,而本工具聚焦攻击者用来让恶意 URL 看起来合法的欺骗技术。
检查的 6 个维度:
xn--)。这就是"аpple.com"攻击:西里尔"а"看起来和拉丁"a"一模一样,但解析到完全不同的域名。user:pass@host 把戏:https://[email protected] 把品牌放在 "@" 前,但真实目的地是 evil.com。浏览器隐藏 userinfo,极具欺骗性。.tk .xyz .top .click 等)。非天生恶意,但强警示信号。%2561)、编码的协议序列、C0 控制字符——都用于绕过 WAF 或迷惑读者。paypal.security-update.com);可注册域是 security-update.com,与 PayPal 无关。192.168.1.1)或混淆的数字形式(十六进制/十进制),用于隐藏目的地。风险评分。 每项 finding 累加到 0-100 分(critical 35、high 20、medium 10、low 4),映射到 Low/Medium/High/Critical。
局限。 这是纯静态结构分析——不发起网络请求,因此无法检测新注册的恶意域名、被攻陷的合法站点或重定向链。它不能替代 Google Safe Browsing 等实时威胁情报。"Low"评级只表示未发现结构性钓鱼信号,不代表目的地安全。
执行
填写表单、运行工具,并在同一页面查看结果。
案例
相关内容
等待运行
工具使用指南
URL 安全检查器是一款专为检测网页链接中潜在钓鱼和欺诈风险而设计的静态分析工具。它通过深度解析 URL 结构,识别 IDN 同形异义字攻击、嵌入式凭据混淆、高风险顶级域名(TLD)、子域名品牌欺骗以及异常编码等欺诈特征,帮助安全人员和普通用户快速评估链接的结构性风险。
背景
分析师在分析一封钓鱼邮件时,发现了一个看起来完全正常的知名品牌链接,怀疑其使用了混合字符集。
问题
需要在不访问该网站的情况下,确认该域名是否使用了非拉丁字符进行伪装。
如何使用
将可疑的 URL 粘贴到输入框中并提交分析。
https://аpple.com/结果
工具立即检测出该域名包含西里尔字母,并展示其真实的 Punycode 形式,将风险评级标记为 Critical(严重)。
背景
员工收到一条客服短信,要求点击链接处理账户异常,链接格式为包含品牌名和 @ 符号的复杂地址。
问题
链接开头显示为知名品牌,但后缀看起来很奇怪,员工需要确认其真实跳转目的地。
如何使用
将该链接复制并粘贴到 URL 安全检查器中进行静态分析。
https://[email protected]/login结果
工具识别出 URL 中包含嵌入式凭据(userinfo)欺骗,指出真实访问的主机为 evil.com,评级为 Critical(严重)。
不会。本工具仅进行静态结构分析,不发起任何网络请求,因此无法检测网站的实际内容或重定向链。
攻击者使用外观极相似的其他字符集(如西里尔字母)替换域名中的英文字母,诱骗用户访问恶意网站。
格式如 [email protected] 的 URL 利用了浏览器隐藏用户凭据的特性,真实访问的目的地是 @ 后面的域名。
不是。低风险仅表示未发现结构性钓鱼特征,无法保证该网站未被黑客攻陷或不包含其他恶意内容。
常规验证工具主要检查协议和格式正确性,而本工具专注于检测欺诈、钓鱼和规避安全检测的结构性伪装技术。