利用第三方浏览器漏洞钓鱼

安全 应用安全
现在各种各样的浏览器导出不穷,然而都是建立在IE内核基础上的,而且在安全方面,这些"扩展"版本浏览器远比IE差了许多,很可能IE正常访问的页面,被这些第三方浏览器一访问,就立刻被木马感染中招。因此,被多攻击者都会利用第三方浏览器的漏洞进行跨站挂马攻击。

现在各种各样的浏览器导出不穷,然而都是建立在IE内核基础上的,而且在安全方面,这些"扩展"版本浏览器远比IE差了许多,很可能IE正常访问的页面,被这些第三方浏览器一访问,就立刻被木马感染中招。因此,被多攻击者都会利用第三方浏览器的漏洞进行跨站挂马攻击。

 "继承"的危险--第三方浏览器漏洞原因

很多人都不喜欢用IE浏览器,觉得IE浏览器不安全,功能也不够强大。而可供选择第三方浏览器非常多,比如Maxthon、世界之窗、Thooe等。这些浏览器提供了丰富的浏览功能,并且宣称对增强了安全性,增强了隐私浏览之类的功能。

其实这些第三方浏览器,都是建立在IE内核上的,在IE内核的基础上进行开发的。但是由于在使用IE内核接口进行开发时,由于IE内核本身存在着一些漏洞,因此这些浏览器也继承了IE内核的漏洞。到后期IE进行内核漏洞修补时,这些第三方浏览器使用的还是旧的IE内核,因此一些在IE中被修复了的旧漏洞,却在第三方浏览器中存在着,导致了第三方浏览器漏洞的产生!

由于"继承"特性造成的漏洞非常多,可能会造成第三方浏览器的用户被挂马、钓鱼欺骗等,这里先来看一个小漏洞。

在以前的IE中存在着一个"@"漏洞,常常被用来进行网络钓鱼欺骗,不过现在IE已经补上了这个漏洞,可是各种第三方浏览器中却还存在着这个古老的漏洞。

首先,打开IE浏览器,输入访问如下的网址:

http://www.baidu.com@www.qq.com/

可以看到IE返回了错误的信息(图1),提示无法访问"www.baidu.com@www.qq.com"这个域名,说明"@"符号是被当作了域名中的一个字符。

图1

图1

再打开世界之窗浏览器(图129)、Maxthon(图130)等,同样访问上面的网址,可以看到返回了正常的QQ腾讯网页页面。不过这个页面的域名链接地址是"@"之后的内容,也就是说,"@"符号被当成了一个分隔符,之前的百度域名字符被忽略了,仅保留了"@"后面的内容。#p#

图2  世界之窗@漏洞

图2  世界之窗@漏洞

图3 Maxthon浏览器@漏洞

图3 Maxthon浏览器@漏洞#p#

鱼是这样钓的--第三方浏览器挂马

从上面的测试可以看到,在IE浏览器中,"@"钓鱼漏洞不存在了,但是第三方浏览器的流行,让这个老漏洞又有了利用的价值。攻击者可制作一个网页木马,诈骗用户访问打开此链接,从而导致遭受网页木马攻击。攻击者在一个论坛中发布一张欺骗性的帖子,假如帖子的主题为"注册网上银行中大奖啦!",在帖子内容中输入一些欺骗诱惑性的内容,并留下网络银行的链接地址,诱骗用户登录自己伪造的虚假网站上。其中最重要的一个环节就是构造虚拟的链接地址,让用户以为自己登录的是正确的网站,一般来说,攻击者可将撰写模式切换为HTML,在帖子中加入如下的代码:

点击<a href="https://mybank.icbc.com.cn/icbc/perbank/regtip.jsp           @www.sina.com.cn/">http://www.icbc.com.cn/</a> ,即可登录注册开通网上银行中1万元大奖!

注意,这里在"@"前加入了空格及一个真的工行链接,以便在状态栏中显示链接时,隐藏"@"符号及后面的假工行链接。

当帖子发布以后,在网页中显示的将是"http://www.icbc.com.cn"链接地址,即使将鼠标移动到连接上在状态栏上看起来依然连接到"http://www.icbc.com.cn"的网站上(图4),但是当用户点击链接后,会连接到在网页中显示的是"中国工商银行网上银行",但是当用户点击该链接时,却连接到了伪造的网站上。如果攻击者将新浪的网址换成网页木马链接地址,那么用户就很有可能上当受骗。

图4 @漏洞传播网马

图4 @漏洞传播网马

另外,在一些第三方浏览器其它更为严重的跨域欺骗漏洞、XSS跨站脚本漏洞等,由于利用的方法比较复杂,因此这里就不多作讲解了。

 

【编辑推荐】

  1. 对搜狐、网易和TOM三大门户网站的SQL注入漏洞检测
  2. Adobe警告严重Shockwave Flash Player零日漏洞
  3. VeriSign数字证书GeoTrust和RapidSSL现严重漏洞
  4. 用社工对抗社工——RSA身份认证总监Uri Rivner谈钓鱼
责任编辑:佟健 来源: 《大中型网络入侵要案》
相关推荐

2012-06-29 14:49:55

海豚浏览器API

2017-12-01 11:09:06

谷歌Chrome浏览器

2009-04-20 09:36:33

2015-11-05 16:44:37

第三方登陆android源码

2023-07-22 09:05:33

微软Edge浏览器

2021-01-26 14:58:06

谷歌浏览器Cookie

2011-10-08 14:37:59

漏洞

2011-07-03 18:59:27

流量

2011-04-21 15:40:52

微软漏洞报告

2021-08-26 09:31:46

微软Edge浏览器

2013-06-25 09:10:36

云数据安全云学习曲线云安全

2012-01-04 14:02:26

JsonCpp

2014-07-23 08:55:42

iOSFMDB

2019-07-30 11:35:54

AndroidRetrofit

2022-01-04 14:33:31

微软Edge浏览器

2015-03-05 09:48:44

2013-11-12 09:52:38

2023-11-07 09:09:45

2023-08-08 07:36:40

微软Bing Chat

2021-06-02 09:26:42

谷歌 Chrome 90 浏览器
点赞
收藏

51CTO技术栈公众号