眼见不一定为实:苹果Safari浏览器曝URL欺诈漏洞

安全 漏洞
苹果Safari浏览器曝出一个可被攻击者用作钓鱼攻击的新漏洞——当用户以为打开某个网站时,其实在访问另一个网址。例如,当用户在浏览deusen.co.uk网站内容时,浏览器地址栏中显示的却是dailymail.co.uk地址。

苹果Safari浏览器曝出一个可被攻击者用作钓鱼攻击的新漏洞——当用户以为打开某个网站时,其实在访问另一个网址。例如,当用户在浏览deusen.co.uk网站内容时,浏览器地址栏中显示的却是dailymail.co.uk地址。

[[134607]]

漏洞利用

研究团队Deusen演示了这个网址欺诈漏洞会如何被黑客用来欺骗用户,让用户以为他们访问的是正规的网站。尽管研究人员提供的POC不是很完美,但也足以修复这一问题。

POC测试地址:http://www.deusen.co.uk/items/iwhere.9500182225526788/

iPad air 2中的Safari浏览器:

眼见不一定为实:苹果Safari浏览器曝URL欺诈漏洞

 

iPad air 2 Google chrome浏览器:

眼见不一定为实:苹果Safari浏览器曝URL欺诈漏洞

原理分析

通过快速分析Deusen团队的演示页面,我们发现,演示页面似乎强制Safari用户访问每日邮报的URL,你可以在浏览器UI这里看出来。这段脚本会在页面加载完毕之前加载另外一个URL。

脚本如下:

  1. <script>   
  2. function f()   
  3. location="dailymail.co.uk/home/index.htm…"+Math.random(); }   
  4. setInterval("f()",10);   
  5. </script> 

在浏览器找到真正的网页之前,利用setInterval()函数网页会每10毫秒重新加载一次,直至找到真正的网页。

责任编辑:蓝雨泪 来源: FreeBuf
相关推荐

2022-04-26 06:53:37

HBaseMD5RowKey

2022-01-17 12:46:05

API漏洞应用程序安全

2015-04-21 10:09:57

2022-01-21 13:37:01

苹果MacSafari 浏览器

2012-01-04 13:08:30

2022-01-19 11:50:05

iPadOS 15Safari浏览器

2022-01-21 06:54:18

iPhoneiPadiOS

2020-08-30 14:31:40

Python编程语言开发

2009-11-16 09:33:57

2012-06-18 14:06:01

MozillaiPad浏览器

2011-04-14 10:31:45

Safari浏览器

2016-12-14 09:54:56

Safari浏览器苹果

2016-01-08 16:26:10

苹果浏览器Safari

2012-03-19 17:07:31

Safari

2009-12-16 09:55:07

Google苹果Chrome

2009-05-04 11:50:15

2010-06-08 09:49:28

Safari 5

2022-01-27 07:00:12

iPhoneiPadiOS

2022-01-27 23:29:21

iOS苹果漏洞

2010-03-15 09:43:51

点赞
收藏

51CTO技术栈公众号