IDN欺騙是網址欺騙的手法之一。它利用國際化網域名稱(IDN)可以以unicode字元命名網址的特性,透過同形異義字,魚目混珠。
基本介紹
- 中文名:IDN欺騙
- 性質:網址欺騙的手法之一
- 分辨:JavaScript
- 防止方法:以Punycode形式顯示URL
簡介,分辨,防止方法,
簡介
同形異義字
在Unicode中,有許多同形異義字,例如西里爾字母的小楷а(U+0430)和拉丁字母、即英文的a(U+0061),在許多字型中都看不出有什麼不同。於是,入侵者便可用此來欺騙用戶。這稱為同形異義字欺騙。
例如入侵者可以註冊一個和著名網站差不多的網址名。例如有西里爾字母的pаypal。這不是新橋段。例如以數字0偽裝數字O,i的大楷I或數字1偽裝L小楷的l,r n偽裝m等。
分辨
JavaScript
var first="а",//U+0430 second="a";//U+0061alert(first==second);//輸出false
防止方法
以Punycode形式顯示URL
將非ASCII字元高亮顯示
網域名稱註冊機構不容許這類網域名稱的註冊,或是由該公司將此類網域名稱先註冊起來並導到正確的網域名稱。