开发者社区> 云栖大讲堂> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

浏览器地址栏欺骗漏洞背后

简介:
+关注继续查看

最近几个不同的Web浏览器出现地址栏欺骗漏洞。这些漏洞背后的问题是什么?

浏览器地址栏欺骗漏洞背后

JavaScript函数setInterval是HTML DOM窗口对象的一种方法,能连续执行指定代码。Deusen研究人员发现,通过使用setInterval函数每10秒重新加载网页,攻击者能够让地址栏显示真正有请求的站点的URL而浏览器上显示的则是攻击恶意网页的内容。在某些情况下,比如iPad上的Safari,能够作为一次钓鱼攻击的一部分。JavaScript代码执行攻击是非常简单的,他不断地重新加载攻击者的页面。这导致用户查看攻击者的页面,然而地址栏上仍旧显示用户需求的页面URL。这就是当用户以为他们访问一个合法网站时,实际上看到的是一个被攻击者控制的网站。

显而易见,setInterval方法遭误用时,网页以百分之一秒快速重载,这导致大多数设备锁定或是网页变得不可用。同时,地址栏会一直闪烁。一种更活跃的地址栏欺骗漏洞存在于Android浏览器中。当结合window.open时,该浏览器无法处理204无内容响应。204无内容意味着服务器成功处理了请求,但却不返回任何内容。Android安全团队已经发布了补丁,但这取决于电信运营商是否分发了下去。

Web浏览器的地址栏是用户查看其是否在所需网站上的一个关键指标。如果攻击者能够控制它显示的内容,则钓鱼攻击更有可能成功实施。作为一个网站管理员,当用户浏览器上有漏洞时,没有什么太好的法子阻止黑客利用地址栏欺骗漏洞来盗窃用户的敏感数据。这些漏洞很可能构成重大的威胁,不过这也提醒了人们应该使用最新的浏览器软件,并定期参加安全意识会话学习篡改地址栏的钓鱼技术。

为了防止员工上这类漏洞欺骗的当,企业应当为他们安排安全培训,加强对这类攻击的认识,不乱点击不明来源的链接。


作者:Michael Heller 翻译:张程程

来源:51CTO


版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
浏览器专题系列 - 跨域与跨站(二)
浏览器专题系列 - 跨域与跨站(二)
33 0
API 浏览器
API浏览器可以说是目前最友好、最实用、最完备,并且数据可编辑的一款免费软件,它包含了大量的API和应用示例,界面友好、操作简单方便
3070 0
+关注
云栖大讲堂
擅长前端领域,欢迎各位热爱前端的朋友加入我们( 钉钉群号:23351485)关注【前端那些事儿】云栖号,更多好文持续更新中!
3913
文章
1754
问答
文章排行榜
最热
最新
相关电子书
更多
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载
冬季实战营第三期:MySQL数据库进阶实战
立即下载