眼见不一定为实:苹果Safari浏览器曝URL欺诈漏洞

2015-05-19 221933人围观 ,发现 10 个不明物体 漏洞资讯

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

苹果Safari浏览器曝出一个可被攻击者用作钓鱼攻击的新漏洞——当用户以为打开某个网站时,其实在访问另一个网址。例如,当用户在浏览deusen.co.uk网站内容时,浏览器地址栏中显示的却是dailymail.co.uk地址。

漏洞利用

研究团队Deusen演示了这个网址欺诈漏洞会如何被黑客用来欺骗用户,让用户以为他们访问的是正规的网站。尽管研究人员提供的POC不是很完美,但也足以修复这一问题。

POC测试地址:http://www.deusen.co.uk/items/iwhere.9500182225526788/

iPad air 2中的Safari浏览器:

iPad air 2 Google chrome浏览器:

原理分析

通过快速分析Deusen团队的演示页面,我们发现,演示页面似乎强制Safari用户访问每日邮报的URL,你可以在浏览器UI这里看出来。这段脚本会在页面加载完毕之前加载另外一个URL。

脚本如下:

<script> 
function f() 
{ location="dailymail.co.uk/home/index.htm…"+Math.random(); } 
setInterval("f()",10); 
</script>

在浏览器找到真正的网页之前,利用setInterval()函数网页会每10毫秒重新加载一次,直至找到真正的网页。

*参考来源isc.sans.edu,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

更多精彩
相关推荐
发表评论

已有 10 条评论

取消
Loading...

这家伙太懒,还未填写个人描述!

37 文章数 3 评论数 0 关注者

文章目录

    特别推荐

    推荐关注

    官方公众号

    聚焦企业安全

    填写个人信息

    姓名
    电话
    邮箱
    公司
    行业
    职位
    css.php