提醒 V 友, 防不胜防的钓鱼网址

@jackantony 这提示不是 chrome 触发的。是发现这个 unicode 漏洞问题的把这个域名挂了这个页面吧

这个就吊了！

另外我当前的设置下 hover 链接之后会显示 ASCII 版本的域名，于是可以发现，但是如果粘贴 Unicode 域名到 address bar 会自动翻译为 ASCII 版本，因此“复制如下地址并粘贴”也能成功钓鱼。

这个厉害，完全看不出来

very helpful

666 不用 js 还看不出来 window.location.host 。

查了下，西里尔字母。
https://unicode-table.com/cn/blocks/cyrillic/
部分字母和英文字母一样

<a href="https://www.epic.com/" rel="nofollow noopener">epic.com</a>
<a href="https://www.xn--e1awd7f.com/" rel="nofollow noopener">epic.com</a>
不太懂你是啥想法

同#15

mac 下 chrome 有提示

This is a page to demonstrate a unicode vulnerability that currently exists in Chrome and Firefox. The domain above is not the real epic.com. It is actually the unicode domain: https://www.xn--e1awd7f.com/

This demonstrates how attackers can use phishing campaigns to imitate legitimate domains and fool users into entering sensitive data on a malicious website.

Please click here to return to the blog post on wordfence.com discussing this issue.

This site is not epic.com and has no affiliation with epic.com or Epic Systems Corporation. This page is not endorsed in any way by the owners of epic.com. To visit the real epic.com, you can click here.

@hornets 29 楼说的对啊，这个就是一个超链接锚文本的伎俩。

就算楼主想给出某个特殊字符的网址也要给对啊，复制第二个网址的锚文本，进入的还是原始网站。所以说，楼上那一群惊呼的都是在扯淡。。

很有用，谢谢

我测试了 mac 和 windows 两个平台，四个浏览器，都要么有我上面说到的提示，要么自动显示正确的 url ，没法钓鱼吧

@jackantony 这个不是 Chrome 的提示，这个是后面那个网址里面的网站内容。后面那个网站是为了演示漏洞所以加了提示。如果由其他网站用这个漏洞搞钓鱼在 Chrome 里面完全看不出来……

@Jacky001 这不是浏览器的提示= = 这个网站就是个演示啊 才告诉你的

666 这个帖子也钓出不少小白啊，网页内容当提示的

@iPhone8 #32 我知道为什么你们惊呼了，因为你们用的 chrome ，我用的 Safari 没问题的。目测是 chrome 显示问题。 url 应该向 Safari 学习。

哈哈哈 楼上两位说浏览器有提示的好可爱

厉害了，防不胜防。


@Jacky001 这不是提示，这是那个网站。 IE 正常显示了 url