眼見不一定為實(shí):蘋果Safari瀏覽器曝釣魚漏洞
責(zé)編:mhshi |2015-05-25 17:21:55蘋果Safari瀏覽器曝出一個可被攻擊者用作釣魚攻擊的新漏洞
當(dāng)用戶以為打開某個網(wǎng)站時,其實(shí)在訪問另一個網(wǎng)址。例如,當(dāng)用戶在瀏覽deusen.co.uk網(wǎng)站內(nèi)容時,瀏覽器地址欄中顯示的卻是dailymail.co.uk地址。
漏洞利用
研究團(tuán)隊(duì)Deusen演示了這個網(wǎng)址欺詐漏洞會如何被黑客用來欺騙用戶,讓用戶以為他們訪問的是正規(guī)的網(wǎng)站。盡管研究人員提供的POC不是很完美,但也足以修復(fù)這一問題。
POC測試地址:http://www.deusen.co.uk/items/iwhere.9500182225526788/
iPad air 2中的Safari瀏覽器:
iPad-air-2中的Safari瀏覽器:
iPad air 2 Google chrome瀏覽器:
iPad-air-2-Google-chrome瀏覽器:
原理分析
通過快速分析Deusen團(tuán)隊(duì)的演示頁面,我們發(fā)現(xiàn),演示頁面似乎強(qiáng)制Safari用戶訪問每日郵報的URL,你可以在瀏覽器UI這里看出來。這段腳本會在頁面加載完畢之前加載另外一個URL。
腳本如下:
<script>
function f()
{ location=”dailymail.co.uk/home/index.htm…”+Math.random(); }
setInterval(“f()”,10);
</script>
在瀏覽器找到真正的網(wǎng)頁之前,利用setInterval()函數(shù)網(wǎng)頁會每10毫秒重新加載一次,直至找到真正的網(wǎng)頁。
頁.jpg)
- ISC.AI 2025正式啟動:AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧