ssecutils
Browser-native / zero upload

URL Parser / Inspector

URLを scheme・ホスト・ポート・パス・クエリ・フラグメントに分解し、パーセントエンコードや punycode(IDN) を復元して表示します。user@host の資格情報埋め込み、非標準ポート、パストラバーサル、オープンリダイレクトなど、フィッシング・SSRF 調査に役立つ危険サインも検出。処理はすべてブラウザ内で完結します。

local pipelinesealed
mode
local
tracking
zero

🔗 URL Parser / Inspector

URL を scheme・ホスト・ポート・パス・クエリ・フラグメントに分解し、パーセントエンコードや punycode(IDN) を復元して表示します。user@host の資格情報埋め込み、非標準ポート、パストラバーサル、オープンリダイレクトなど、フィッシング・SSRF 調査に役立つ危険サインも検出します。処理はすべてブラウザ内で行われ、入力した URL はサーバーに送信されません。

例:
危険
URL に資格情報(user:****)が埋め込まれています。「@」の左側は認証情報で、実際の接続先は右側のホストです。正規サイトに見せかけるフィッシングの典型的な手口です。
注意
ホストが punycode(国際化ドメイン名 IDN)です。実際の表示は「mañana.com」。正規ドメインに似せた文字を使うホモグラフ詐欺の可能性があるため、文字を確認してください。
情報
既定と異なるポート(:8443)が指定されています。用途を確認してください。
注意
URL に「../」やエンコードされた ../(%2e%2e)・スラッシュ(%2f)が含まれます。ブラウザ側では正規化されますが、サーバーの実装次第でパストラバーサル(ディレクトリ脱出)の調査対象になります。 パストラバーサル解説
情報
クエリに重複キーがあります(id)。サーバーごとに「最初/最後/配列」と解釈が分かれ、HTTP パラメータ汚染の原因になります。
注意
クエリ「next」の値が別のURL(https://evil.example)です。検証が甘いとオープンリダイレクトに悪用され、フィッシング誘導に使われます。 SSRF・リクエスト偽装の解説
scheme
https
userinfo
user:****⚠ 資格情報の埋め込み
host
xn--maana-pta.com
復元: mañana.com(IDN)
port
8443
path
/b
query
3 個のパラメータ
fragment
section
origin
https://xn--maana-pta.com:8443
クエリパラメータ(デコード済み)
next
https://evil.example
id重複
1
id重複
2

💡 URL の読み方と危険サイン

  • 接続先は「@」の右側: https://正規サイト.com@evil.example/ のように、@ の左に正規ドメインを置いて信用させ、実際は右側のevil.example へ接続させる手口があります。
  • punycode(xn--)に注意: 見た目が正規ドメインそっくりの別ドメイン(ホモグラフ詐欺)を検出できます。本ツールは実際の Unicode 表記に復元して表示します。
  • URLを値に持つクエリ: ?next=https://… のようなパラメータは、検証が甘いとオープンリダイレクトに悪用されます。
  • すべてブラウザ内で処理: 入力した URL は外部に送信されません。調査対象の不審な URL も安全に分解できます。
Next workflow

次に使うツール

作業の流れに近いツールへすぐ移動できます。

Learn

このツールに関連する解説記事

すべての記事 →
Search guide

URLを分解して構造と危険サインを確認する

URL Parser / Inspector は、URL を scheme・ユーザー情報・ホスト・ポート・パス・クエリ・フラグメントに分解し、パーセントエンコードや punycode(国際化ドメイン名)を人が読める形に復元するツールです。あわせて、フィッシングや SSRF の調査で手がかりになる危険サインを自動で洗い出します。

Browser-native privacy

解析はブラウザ内で完結し、入力した URL はサーバーへ送信されません。

エンコードと国際化ドメインを復元して読む

%2e%2e や %2f のようなパーセントエンコードを復元し、パスやクエリの本当の中身を表示します。ホストが xn-- で始まる punycode(IDN)の場合は、RFC 3492 に基づいてブラウザ内で Unicode 表記に復元するため、正規ドメインに似せた文字を使うホモグラフ詐欺の判別に役立ちます。クエリは重複キーも含めてデコード済みで一覧できます。

フィッシング・SSRF の危険サインを検出

「user@host」の形で URL に埋め込まれた資格情報(正規サイトに見せかける手口)、javascript: や data: などの危険スキーム、非標準ポート、パストラバーサル(../)、URL を値に持つクエリ(オープンリダイレクト候補)などを自動でフラグします。ホストが数値表記の難読化 IP なら IP Address Converter への導線も表示します。処理はすべてブラウザ内で行うため、調査対象の不審な URL も安全に分解できます。

URL Parser / Inspector でできること

  • scheme/host/port/path/query/fragment に分解
  • punycode(IDN)・パーセントエンコードを復元
  • 資格情報埋め込み・オープンリダイレクト等を検出