最近幾個不同的web浏覽器出現位址欄欺騙漏洞。這些漏洞背後的問題是什麼?
javascript函數setinterval是html dom視窗對象的一種方法,能連續執行指定代碼。deusen研究人員發現,通過使用setinterval函數每10秒重新加載網頁,攻擊者能夠讓位址欄顯示真正有請求的站點的url而浏覽器上顯示的則是攻擊惡意網頁的内容。在某些情況下,比如ipad上的safari,能夠作為一次釣魚攻擊的一部分。javascript代碼執行攻擊是非常簡單的,他不斷地重新加載攻擊者的頁面。這導緻使用者檢視攻擊者的頁面,然而位址欄上仍舊顯示使用者需求的頁面url。這就是當使用者以為他們通路一個合法網站時,實際上看到的是一個被攻擊者控制的網站。
顯而易見,setinterval方法遭誤用時,網頁以百分之一秒快速重載,這導緻大多數裝置鎖定或是網頁變得不可用。同時,位址欄會一直閃爍。一種更活躍的位址欄欺騙漏洞存在于android浏覽器中。當結合window.open時,該浏覽器無法處理204無内容響應。204無内容意味着伺服器成功處理了請求,但卻不傳回任何内容。android安全團隊已經釋出了更新檔,但這取決于電信營運商是否分發了下去。
web浏覽器的位址欄是使用者檢視其是否在所需網站上的一個關鍵名額。如果攻擊者能夠控制它顯示的内容,則釣魚攻擊更有可能成功實施。作為一個網站管理者,當使用者浏覽器上有漏洞時,沒有什麼太好的法子阻止黑客利用位址欄欺騙漏洞來盜竊使用者的敏感資料。這些漏洞很可能構成重大的威脅,不過這也提醒了人們應該使用最新的浏覽器軟體,并定期參加安全意識會話學習篡改位址欄的釣魚技術。
為了防止員工上這類漏洞欺騙的當,企業應當為他們安排安全教育訓練,加強對這類攻擊的認識,不亂點選不明來源的連結。
作者:michael heller 翻譯:張程程
來源:51cto