Safari地址栏欺骗漏洞被用于钓鱼及恶意软件攻击
研究人员已经证明一个新的地址利用可以欺骗Safari用户,让他们认为他们在使用苹果自制的浏览器访问一个网站,实际上是在访问另一个完全不同的地址。
最近公布的概念型利用导致Safari地址栏中显示daily.co.uk,即使浏览器显示的内容是再来deusen.co.uk的。ios 和osx上的攻击原理完全相同,恶意攻击者可能使用漏洞欺骗用户,让他们以为自己连接到了受信任的站点,而不是诱骗他们登录或安装恶意软件。
演示代码不是很完美。在ipad mini上测试,地址栏定期刷新地址进行重载。该行为可能会让很多精明的用户感到不妥。尽管如此,许多用户根本没有发现刷新的不寻常。更重要的是,该刷新行为没有在MacBook Pro上进行人工实验。
Jeremiah Grossman,白帽子网络安全公司的CTO,他认为黑客非常聪明。基于对JavaScrip的快速分析,页面出现强制Safari访问dailymail的URL,然后反应到了用户界面。在页面加载之前,脚本会快速击中另一个url。该脚本如下:
该漏洞在今年2月被发现,发现漏洞者是发现Internet Explorer版本补丁的漏洞会导致用户凭据出现危险的研究员。
1
2
3
4
5
6
7 |
<script> function f() { location= "dailymail.co.uk/home/index.htm…" +Math.random(); } setInterval( "f()" ,10); < /script > |
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
关注网络尖刀微信公众号
随时掌握互联网精彩
随时掌握互联网精彩
赞助链接
排名
热点
搜索指数
- 1 澳门是伟大祖国的一方宝地 7920800
- 2 女子穿和服在南京景区拍照遭怒怼 7970885
- 3 日本火山喷发灰柱高达3400米 7897551
- 4 2024 向上的中国 7782548
- 5 肖战新片射雕英雄传郭靖造型曝光 7695582
- 6 大三女生练咏春一起手眼神骤变 7583201
- 7 胡军演洪七公 7406230
- 8 男子钓上一条自带“赎金”的鱼 7323565
- 9 赵丽颖带儿子探班 7259615
- 10 高考601分女生为何选择殡葬专业 7127520