🔗 Анализ URL — фундамент OSINT и кибербезопасности. Понимание его структуры позволяет видеть "трещины", а правильный набор инструментов превращает подозрительную ссылку в карту действий злоумышленника. Ловим ТОП инструментов для такой работы:
CyberChef: расшифровка закодированного контента (Base64, Quoted-Printable) в фишинговых письмах, извлечение скрытых URL, дефазинг ссылок.
Email IOC Extractor (MalwareCube): быстрое извлечение IOCs (URL, IP, домены, email, хеши файлов) прямо из файла письма (EML, MSG).
URL2PNG: получение скриншота веб-страницы без риска перехода по ссылке. Не запускает JavaScript!
urlscan.io: глубокий анализ поведения страницы при загрузке: HTTP-запросы, редиректы, подгружаемые скрипты и ресурсы, технологии (CMS, фреймворки), DNS-записи, скриншоты.
Google Safe Browsing: сверка URL с гигантской базой Google известных фишинговых, вредоносных и обманных сайтов. Отличный первичный фильтр.
Joe Sandbox: запуск URL (или файла) в изолированной виртуальной среде с полным мониторингом поведения: процессы, изменения реестра, созданные файлы, сетевые соединения, попытки установки сертификатов.
ℹ️ Анатомия URL https://portal.hashtagtechnophile.com/blogs/article.php?id=421:
◾️https:// — Протокол передачи данных (HTTP/HTTPS/FTP).
◾️portal — Субдомен. Ключевая уязвимость! Злоумышленники часто используют легитимные домены с подмененными субдоменами (например, secure-paypal.com вместо paypal.com). Бессмысленные субдомены — красный флаг!
◾️hashtagtechnophile — Доменное имя (второго уровня). Уникальный идентификатор сайта.
◾️.com — Домен верхнего уровня (TLD). Вместе с доменным именем (hashtagtechnophile.com) образует уникальную, неподделываемую комбинацию.
◾️/blogs/ — Подкаталог (организует контент на сервере).
◾️article.php — Файл (исполняемый скрипт или ресурс).
◾️id=421 — Параметры (передают данные в скрипт, часто используются для эксплойтов).
