蘋果Safari瀏覽器曝出一個可被攻擊者用作釣魚攻擊的新漏洞——當用戶以為打開某個網站時,其實在訪問另一個網址。例如,當用戶在瀏覽deusen.co.uk網站內容時,瀏覽器地址欄中顯示的卻是dailymail.co.uk地址。
蘋果Safari瀏覽器曝出一個可被攻擊者用作釣魚攻擊的新漏洞——當用戶以為打開某個網站時,其實在訪問另一個網址。例如,當用戶在瀏覽deusen.co.uk網站內容時,瀏覽器地址欄中顯示的卻是dailymail.co.uk地址。
漏洞利用
研究團隊Deusen演示了這個網址欺詐漏洞會如何被黑客用來欺騙用戶,讓用戶以為他們訪問的是正規的網站。盡管研究人員提供的POC不是很完美,但也足以修復這一問題。
iPad air 2中的Safari瀏覽器:
iPad air 2 Google chrome瀏覽器:
原理分析
通過快速分析Deusen團隊的演示頁面,我們發現,演示頁面似乎強制Safari用戶訪問每日郵報的URL,你可以在瀏覽器UI這里看出來。這段腳本會在頁面加載完畢之前加載另外一個URL。
腳本如下:
<script>
function f()
{ location="dailymail.co.uk/home/index.htm…"+Math.random(); }
setInterval("f()",10);
</script>
在瀏覽器找到真正的網頁之前,利用setInterval()函數網頁會每10毫秒重新加載一次,直至找到真正的網頁。
京公網安備 11010502049343號