现在各种各样的浏览器导出不穷,然而都是建立在IE内核基础上的,而且在安全方面,这些"扩展"版本浏览器远比IE差了许多,很可能IE正常访问的页面,被这些第三方浏览器一访问,就立刻被木马感染中招。因此,被多攻击者都会利用第三方浏览器的漏洞进行跨站挂马攻击。
"继承"的危险--第三方浏览器漏洞原因
很多人都不喜欢用IE浏览器,觉得IE浏览器不安全,功能也不够强大。而可供选择第三方浏览器非常多,比如Maxthon、世界之窗、Thooe等。这些浏览器提供了丰富的浏览功能,并且宣称对增强了安全性,增强了隐私浏览之类的功能。
其实这些第三方浏览器,都是建立在IE内核上的,在IE内核的基础上进行开发的。但是由于在使用IE内核接口进行开发时,由于IE内核本身存在着一些漏洞,因此这些浏览器也继承了IE内核的漏洞。到后期IE进行内核漏洞修补时,这些第三方浏览器使用的还是旧的IE内核,因此一些在IE中被修复了的旧漏洞,却在第三方浏览器中存在着,导致了第三方浏览器漏洞的产生!
由于"继承"特性造成的漏洞非常多,可能会造成第三方浏览器的用户被挂马、钓鱼欺骗等,这里先来看一个小漏洞。
在以前的IE中存在着一个"@"漏洞,常常被用来进行网络钓鱼欺骗,不过现在IE已经补上了这个漏洞,可是各种第三方浏览器中却还存在着这个古老的漏洞。
首先,打开IE浏览器,输入访问如下的网址:
http://www.baidu.com@www.qq.com/
可以看到IE返回了错误的信息(图1),提示无法访问"www.baidu.com@www.qq.com"这个域名,说明"@"符号是被当作了域名中的一个字符。
图1
再打开世界之窗浏览器(图129)、Maxthon(图130)等,同样访问上面的网址,可以看到返回了正常的QQ腾讯网页页面。不过这个页面的域名链接地址是"@"之后的内容,也就是说,"@"符号被当成了一个分隔符,之前的百度域名字符被忽略了,仅保留了"@"后面的内容。#p#
图2 世界之窗@漏洞
图3 Maxthon浏览器@漏洞#p#
鱼是这样钓的--第三方浏览器挂马
从上面的测试可以看到,在IE浏览器中,"@"钓鱼漏洞不存在了,但是第三方浏览器的流行,让这个老漏洞又有了利用的价值。攻击者可制作一个网页木马,诈骗用户访问打开此链接,从而导致遭受网页木马攻击。攻击者在一个论坛中发布一张欺骗性的帖子,假如帖子的主题为"注册网上银行中大奖啦!",在帖子内容中输入一些欺骗诱惑性的内容,并留下网络银行的链接地址,诱骗用户登录自己伪造的虚假网站上。其中最重要的一个环节就是构造虚拟的链接地址,让用户以为自己登录的是正确的网站,一般来说,攻击者可将撰写模式切换为HTML,在帖子中加入如下的代码:
点击<a href="https://mybank.icbc.com.cn/icbc/perbank/regtip.jsp @www.sina.com.cn/">http://www.icbc.com.cn/</a> ,即可登录注册开通网上银行中1万元大奖!
注意,这里在"@"前加入了空格及一个真的工行链接,以便在状态栏中显示链接时,隐藏"@"符号及后面的假工行链接。
当帖子发布以后,在网页中显示的将是"http://www.icbc.com.cn"链接地址,即使将鼠标移动到连接上在状态栏上看起来依然连接到"http://www.icbc.com.cn"的网站上(图4),但是当用户点击链接后,会连接到在网页中显示的是"中国工商银行网上银行",但是当用户点击该链接时,却连接到了伪造的网站上。如果攻击者将新浪的网址换成网页木马链接地址,那么用户就很有可能上当受骗。
图4 @漏洞传播网马
另外,在一些第三方浏览器其它更为严重的跨域欺骗漏洞、XSS跨站脚本漏洞等,由于利用的方法比较复杂,因此这里就不多作讲解了。
【编辑推荐】