killvxk/analyzing-malicious-url-with-urlscan
skills/analyzing-malicious-url-with-urlscan/SKILL.md
URLScan.io 是一项用于扫描和分析可疑 URL 的免费服务,可在隔离环境中捕获网页的截图、DOM 内容、HTTP 事务、JavaScript 行为和网络连接。
$ install --global
skillsauthnpx skillsauth add killvxk/cybersecurity-skills-zh analyzing-malicious-url-with-urlscanInstall this skill globally with one command. Works with Claude Code, Cursor, and Windsurf.
Security Scan Results
3 of 9 scanners reported clean
Some scanners were skipped, did not run, or reported a non-clean status. Review each row below.
3
Scanners Passed
9
Scanners in report
Clean
TrivyContainer and dependency vulnerability scanner
95%
Clean
SemgrepStatic code analysis for vulnerabilities
95%
Clean
mcp-scan (Snyk)Model Context Protocol security validation
95%
Skipped
Snyk (dep)Open source security scanning
50%
Skipped
Socket.devSupply chain security analysis
50%
Skipped
VirusTotalMulti-engine malware detection
50%
Skipped
CrowdStrikeAdvanced threat intelligence
50%
Skipped
OSV-ScannerOpen Source Vulnerability database check
50%
Skipped
OWASP Dep-Check
50%
Last scanned: Apr 16, 2026, 10:48 PM8.5s7 files scanned
SKILL.md
- name:
- analyzing-malicious-url-with-urlscan
- description:
- URLScan.io 是一项用于扫描和分析可疑 URL 的免费服务,可在隔离环境中捕获网页的截图、DOM 内容、HTTP 事务、JavaScript 行为和网络连接。
- domain:
- cybersecurity
- subdomain:
- phishing-defense
- tags:
- [phishing, email-security, social-engineering, dmarc, awareness, url-analysis, threat-intelligence]
- version:
- 1.0
- author:
- mahipal
- license:
- Apache-2.0
使用 URLScan 分析恶意 URL
概述
URLScan.io 是一项用于扫描和分析可疑 URL 的免费服务,可在隔离环境中捕获网页的截图、DOM 内容、HTTP 事务、JavaScript 行为和网络连接。本 skill 涵盖使用 URLScan 的 Web 界面和 API 调查钓鱼(phishing)URL、凭据收割页面和恶意重定向,而无需将分析师的系统暴露于风险中。
前置条件
- URLScan.io 账号(提供免费层级,自动化操作需要 API key)
- Python 3.8+ 及 requests 库
- 了解 HTTP 协议和 Web 技术
- 熟悉钓鱼 URL 模式
核心概念
URLScan 功能
- 安全浏览:在隔离的 Chromium 实例中渲染 URL
- 截图捕获:渲染页面的可视快照
- DOM 分析:JavaScript 执行后的完整 HTML 内容
- 网络日志:页面发出的所有 HTTP 请求(HAR 格式)
- 证书分析:SSL/TLS 证书详情
- 技术检测:识别 Web 框架和库
- IP/ASN 映射:基础设施情报
- 裁决(Verdict):社区和自动化分类
钓鱼 URL 危险信号
- 新注册域名(< 30 天)
- 免费托管服务(Wix、GitHub Pages、Firebase)
- 隐藏最终目标的 URL 短链接
- 过多的子域名层级(login.microsoft.com.evil.com)
- 品牌名在子域或路径中,而非在域名中
- 非标准端口
- Data URI 或 Base64 编码内容
- JavaScript 密集、HTML 极少的页面
实施步骤
步骤 1:向 URLScan 提交 URL
Web:访问 https://urlscan.io 并提交可疑 URL
API:POST https://urlscan.io/api/v1/scan/
Header: API-Key: your-api-key
Body: {"url": "https://suspicious-url.com", "visibility": "private"}
步骤 2:分析结果
- 查看截图中的品牌仿冒(brand impersonation)情况
- 检查重定向和最终目标 URL
- 检查 DOM 中的凭据输入表单
- 审查网络请求中的数据外泄端点
- 检查 SSL 证书有效性和签发者
步骤 3:提取 IOC(失陷指标)
- 已联系的域名和 IP
- 重定向链中的 URL
- 页面资源的 SHA-256 哈希
- JavaScript 文件哈希
步骤 4:与威胁情报交叉比对
使用 scripts/process.py 自动化 URL 扫描、提取 IOC,并与 VirusTotal、PhishTank 和 Google Safe Browsing 交叉比对。
工具与资源
- URLScan.io:https://urlscan.io/
- URLScan API:https://urlscan.io/docs/api/
- VirusTotal URL 扫描器:https://www.virustotal.com/
- PhishTank:https://phishtank.org/
- Google Safe Browsing:https://transparencyreport.google.com/safe-browsing/search
- Any.Run:https://any.run/(交互式沙箱)
- Hybrid Analysis:https://www.hybrid-analysis.com/
验证
- 通过 API 成功扫描可疑 URL
- 提取截图并识别品牌仿冒
- 记录完整重定向链
- 从扫描结果生成 IOC 列表
- 将发现与至少 2 个威胁情报来源交叉比对
Related Skills
killvxk/conducting-social-engineering-penetration-test
testing
VerifiedTrustedCommunity
设计并执行社会工程学渗透测试,包括钓鱼、语音钓鱼、短信钓鱼和物理借口活动,以衡量人员安全韧性并识别培训差距。
10SKILL.mdUpdated Apr 29, 2026
killvxk/conducting-post-incident-lessons-learned
testing
VerifiedTrustedCommunity
主持结构化的事件后审查,以识别根本原因、记录有效和无效的措施,并提出可操作的改进建议以提升未来的事件响应能力。
10SKILL.mdUpdated Apr 29, 2026
killvxk/conducting-phishing-incident-response
testing
VerifiedTrustedCommunity
通过分析举报的邮件、提取指标、评估凭据受攻陷情况、在全组织范围隔离恶意邮件并修复受影响账号来响应网络钓鱼事件。涵盖邮件头分析、URL/附件沙箱检测和邮箱范围清除操作。适用于网络钓鱼响应、邮件事件、凭据钓鱼、鱼叉式网络钓鱼调查或钓鱼修复相关请求。
10SKILL.mdUpdated Apr 29, 2026
killvxk/conducting-pass-the-ticket-attack
tools
VerifiedTrustedCommunity
票据传递(Pass-the-Ticket,PtT)是一种横向移动技术,使用窃取的 Kerberos 票据(TGT 或 TGS)在不知道用户密码的情况下向服务进行认证。通过从已控制的主机内存中提取 Kerberos 票据,攻击者可以将这些票据注入自己的会话以模拟票据所有者。
10SKILL.mdUpdated Apr 29, 2026