浏览器地址栏欺骗漏洞背后

日期: 2015-11-30 作者:Michael Heller翻译:张程程 来源:TechTarget中国 英文

最近几个不同的Web浏览器出现地址栏欺骗漏洞。这些漏洞背后的问题是什么?

JavaScript函数setInterval是HTML DOM窗口对象的一种方法,能连续执行指定代码。Deusen研究人员发现,通过使用setInterval函数每10秒重新加载网页,攻击者能够让地址栏显示真正有请求的站点的URL而浏览器上显示的则是攻击恶意网页的内容。在某些情况下,比如iPad上的Safari,能够作为一次钓鱼攻击的一部分。JavaScript代码执行攻击是非常简单的,他不断地重新加载攻击者的页面。这导致用户查看攻击者的页面,然而地址栏上仍旧显示用户需求的页面URL。这就是当用户以为他们访问一个合法网站时,实际上看到的是一个被攻击者控制的网站。

显而易见,setInterval方法遭误用时,网页以百分之一秒快速重载,这导致大多数设备锁定或是网页变得不可用。同时,地址栏会一直闪烁。一种更活跃的地址栏欺骗漏洞存在于Android浏览器中。当结合window.open时,该浏览器无法处理204无内容响应。204无内容意味着服务器成功处理了请求,但却不返回任何内容。Android安全团队已经发布了补丁,但这取决于电信运营商是否分发了下去。

Web浏览器的地址栏是用户查看其是否在所需网站上的一个关键指标。如果攻击者能够控制它显示的内容,则钓鱼攻击更有可能成功实施。作为一个网站管理员,当用户浏览器上有漏洞时,没有什么太好的法子阻止黑客利用地址栏欺骗漏洞来盗窃用户的敏感数据。这些漏洞很可能构成重大的威胁,不过这也提醒了人们应该使用最新的浏览器软件,并定期参加安全意识会话学习篡改地址栏的钓鱼技术。

为了防止员工上这类漏洞欺骗的当,企业应当为他们安排安全培训,加强对这类攻击的认识,不乱点击不明来源的链接。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

翻译

张程程
张程程

TechTarget中国编辑。专注报道企业级安全、网络领域的技术更迭和趋势变革,负责安全网站与网络网站的内容规划、组稿、原创和编辑。

相关推荐