隐私浏览器DuckDuckGo爆出漏洞,可导致URL欺骗攻击

最新推荐文章于 2024-02-04 20:59:12 发布
最新推荐文章于 2024-02-04 20:59:12 发布
阅读量733 收藏
点赞数

Android 5.26.0系统中,开源的私人浏览器DuckDuckGo被发现存在漏洞可导致攻击,攻击者可通过该漏洞利用URL欺骗的方式发动攻击,目前该浏览器的安装量已超过500万。

DuckDuckGo__Privacy_Browser_for_Android.jpg

安全研究员Dhiraj Mishra将这个漏洞编号为CVE-2019-12329,并通过HackOne平台的漏洞赏金计划向该应用的安全团队通知漏洞的存在。研究人员表示,他通过特定的JavaScript页面欺骗了DuckDuckGo浏览器的omnibar完成了漏洞验证,该页面使用setInterval函数,使其每10到50毫秒便可重新加载一个URL。中国菜刀

虽然真正的DuckDuckGo.com网站会在每50毫秒自动加载一次,但其内部的HTML会被修改为完全不同的内容用于甄别。

Proof of concept.png

代码证明

研究人员表示,这个漏洞是在2018年10月31日通过HackOne平台提交给该浏览器的安全团队的,最初其威胁级别是高危,直至2019年5月27日,才得出最后的结论:这个漏洞的威胁级别并不算高危。天空彩

潜在的攻击者可以通过更改浏览器地址栏中显示的URL来欺骗用户,使他们认为自己正在浏览安全的网页,从而执行URL欺骗攻击。

DuckDuckGo Privacy Browser for Android spoofed omnibar.png

DuckDuckGo omnibar的PoC

因此,不知情的用户可能会被重定向至各种由攻击者伪造的网站页面,而这些网站可能会是网络钓鱼、恶意广告,又或者是恶意软件植入,其最终的目标都会是目标用户的数据信息。

在5月初,安全研究员Arif Khan还发现UC浏览器和UC浏览器mini版也存在类似的URL欺骗攻击漏洞,而这两款App共计已安装了6亿多次。

Arif Khan表示,URL欺骗攻击是最恼人的钓鱼攻击,因为这原本应当是用户识别网站的唯一方法。 隐私浏览器DuckDuckGo爆出漏洞,可导致URL欺骗攻击

systemino
关注
duckduckgo-search
AI + 工程
03-20 1203
关于 DuckDuckGo 关于 duckduckgo-search 安装 CLI 命令行使用 使用示例 Duckduckgo search operators 基本使用 1、文本搜索 2、搜索即时答案 3、搜索图片 4、搜索视频 5、搜索新闻 6、地图搜索 7、翻译 8、建议
可以叫板Google的一个搜索引擎——DuckDuckGo
inter_peng的专栏
11-18 1万+
本文由Markdown语法编辑器编辑完成。作为习惯了使用Google进行资料询的我来说,如果没有Google,真的感觉很难受。纵使找了一些可以翻墙的软件,但是无奈还是经常不稳定,总是时断时续的。Bing和百度搜索出来的东西,距离自己想要的东西,差别比较大。前段时间在虎嗅上面读到一篇关于搜索引擎的文章,题目叫:《谷歌是最安全的搜索引擎?这家谷歌的竞争对手优化要说》。原文链接:https://www.
Web安全和渗透测试有什么关系?
Python_0011的博客
03-31 1316
做渗透测试的一个环节就是测试web安全,需要明白漏洞产生原理,通过信息收集互联网暴露面,进行漏洞扫描,漏洞利用,必要时进行脚本自编写和手工测试,力求挖出目标存在的漏洞并提出整改建议,当然如果技术再精一些,还要学习内网渗透(工作组和域环境),白盒审计,app,小程序渗透那些了......可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。总之,web安全包含于渗透测试,但不是渗透测试的全部。
不窃取用户隐私的搜索引擎: DuckDuckGo
923723914
10-01 641
不窃取用户隐私的搜索引擎: DuckDuckGo https://duckduckgo.com/ 最近goggle不给力, baidu搜出来的很多都是垃圾, bing用久了很烦. 于是用上了DuckDuckGo. 很好很强大. 还是HTTPS的. 以后谁再窃取我们的隐私, 没门. 那些互联网巨头们, 整天想用浏览器绑架用户, 窃取用户数据, 都一边凉快去吧x 想长寿, 用Duck...
程序员常用资源工具集合(建议收藏)
热门推荐
民工哥的博客
08-10 1万+
点击上方“民工哥技术之路”选择“置顶或星标”每天10点为你分享不一样的干货搜索资源网站学习技术过程我们经常需要使用搜索引擎来检索资料,国内常用的也就是某度了。当然有条件的...
DuckDuckGo Android App:适用于Android的隐私浏览器-开源
04-18
DuckDuckGo是一款可在在线浏览时为您提供最大隐私的应用程序。 无论互联网可能带您到何处,它都能阻止您被跟踪并保护您的个人和私人信息。 除了提供标准的浏览功能之外,DuckDuckGo还会阻止所有隐藏的第三方跟踪器,...
omn​​ibang:浏览器扩展,用于使用DuckDuckGo提供的刘海直接从地址栏中搜索许多站点
01-29
它基于DuckDuckGo提供的,并且以类似的方式工作。 两个主要区别是: DuckDuckGo遵循!bang search-term格式,而Omnibang遵循! bang search-term ! bang search-term 。 即使DuckDuckGo不是您的默认搜索引擎,...
duckduckgo-redirect:duckduckgo-redirect是一个简单的WebExtension,可将Google和其他搜索引擎上的搜索重定向到DuckDuckGo
05-08
duckduckgo-redirect是一个简单的WebExtension,可将Google和其他搜索引擎上的搜索重定向到DuckDuckGo。 您可以在找到Firefox加载项页面。 执照 duckduckgo-redirect是根据GNU通用公共许可证3.0发布的。 有关更多...
duckduckgo-images-api:DuckDuckGo图像搜索结果-以编程方式下载图像搜索结果
05-26
DuckDuckGo图片搜索API DuckDuckGo图像搜索API是用于以编程方式下载DuckDuckGo图像搜索结果的python应用程序。 这仅用于教育目的! 这个怎么运作 已在Python 2.7上测试。 该项目具有用于提取图像搜索结果的简单源...
Duckduckgo_search 入门
最新发布
AIGC搞起
02-04 1729
使用DuckDuckGo.com搜索引擎搜索单词、文档、图片、视频、新闻、地图和文本翻译。将文件和图片下载到本地硬盘。
亚洲
02-17
AS-IA-main.zip
国外优秀HTML网页源代码(上)
03-22
超级优秀html网页源代码。相信程序员朋友不会错过的。超级难弄的。
Anonymous-OS操作系统
03-18
国外著名的黑客组织Anonymous于近日发布了一款自行开发的操作系统,该系统被命名为Anonymous-OS,并将DuckDuckGo定为其默认的搜索引擎。 Anonymous-OS操作系统基于Ubuntu 11.10,使用Mate桌面,主要是出于教育目的,以检网页的安全性。 此外,该操作系统还提供各种Web渗透测试工具,包括ParolaPass Password Generator、Find Host IP、Anonymous HOIC、Ddosim、Pyloris、Slowloris、TorsHammer、Sqlmap、Havij、Sql Poison、Admin Finder、John the Ripper、Hash Identifier、Tor、XChat IRC、Pidgin、Vidalia、Polipo、JonDo、i2p、Wireshark、Zenmap等,系统用户密码MD5为:2ae66f90b7788ab8950e8f81b829c947,解密后为:anon。
在个人隐私方面做得比Google好的搜索引擎——DuckDuckGo
ai_64的博客
03-23 702
From1:https://blog.csdn.net/inter_peng/article/details/53223455 From2:https://blog.csdn.net/freeking101/article/details/83626206   作为习惯了使用Google进行资料询的我来说,如果没有Google,真的感觉很难受。纵使找了一些可以翻墙的软件,但无奈还是经常...
搜索引擎duckduckgo
深思千年
04-04 3053
北京时间3月31日消息,DuckDuckGo搜索引擎近来发展迅猛,3个月来搜索请求以平均每天227%的速度高速增长。虽然现在它尚不能撼动Google搜索霸主地位,但谷歌亦也应该提起重视。 报道称,不少国外企业家在其个人电脑上使用的是另类的搜索引擎DuckDuckGo,而不是谷歌或者Bing。另外据ycombinator报道称,使用这个搜索引擎的人也不是一个两个。 从下面的图表中可以看出,到今年
使用DuckDuckGo在命令行中搜索
linuxprobe2017的博客
12-14 5707
最近出现了一款能够从命令行搜索 DuckDuckGo 的工具。它叫做 ddgr(我把它读作 “dodger”),非常好用,像 Googler 一样,ddgr 是一个完全开源而且非官方的工具。没错,它并不属于 DuckDuckGo。所以,如果你发现它返回的结果有些奇怪,请先询问这个工具的开发者,而不是搜索引擎的开发者。 DuckDuckGo 命令行应用 DuckDuckGo Ba
DuckDuckGo 的盈利模式
cezhixu的专栏
06-19 5716
DuckDuckGo从2014年就开始盈利了,他们没有存储和分享任何的使用我们搜索引擎用户的私人信息。正如我们想说的,你在DuckDuckGo上搜索了什么是你的隐私,即使是来自于我们!我们很自豪,拥有一个基于网络的商业模型,不用将你的私人信息当成是一个产品就盈利了。我很高兴告诉大家,我们是如何实现的(同样的,其他公司也可以做到)。 首先,如果你不熟悉DuckDuckGo,我们是...
神经网络学习远离_使您的企业远离黑暗的网络
weixin_26722031的博客
07-31 302
神经网络学习远离Not everyone knows about the dark web. That puts many people and businesses at a disadvantage when it comes to protecting business and customer data. Even if you run a tight ship with network ...
Go语言实现DuckDuckGo隐私搜索API包
2. DuckDuckGo搜索引擎:DuckDuckGo是一个注重用户隐私的搜索引擎,不追踪用户的搜索习惯,不收集个人信息。它的特点是提供即时答案(Instant Answers),用户在搜索时可以直接获得相关的摘要信息,而不仅仅是链接...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值