![6b8afa8d67e4aecdae3d4d73856ec401.png](https://i-blog.csdnimg.cn/blog_migrate/8798b0ae9860146d41dfa7ddfc089e50.png)
漏洞允许攻击者欺骗用户访问恶意网站,同时在地址栏显示不正确的URL。
![327db390f301f1d75082a14382e09e49.png](https://i-blog.csdnimg.cn/blog_migrate/dead3efcaa019572eee781f2c206bf0c.png)
“地址栏欺骗”漏洞指的是网络浏览器中的一个漏洞,该漏洞允许恶意网站修改其真实网址,并显示一个虚假网址——通常是合法网站的网址。
地址栏欺骗漏洞自web早期就一直存在,但它们从未像今天这样危险。
在桌面浏览器有各种迹象和安全特性,可以用来检测恶意代码改变时,地址栏显示一个虚假的URL,这是不可能的在移动浏览器屏幕大小是溢价,和许多桌面浏览器的安全特性发现失踪。
由于地址栏是移动浏览器上唯一也是最后一道防线,地址栏欺骗漏洞在智能手机和其他移动设备上要危险很多倍。
在7个移动浏览器中发现了10个地址栏欺骗漏洞
在今天网络安全公司Rapid7发布的一份报告中,该公司表示,他们与巴基斯坦安全研究员Rafay Baloch合作,在7个移动浏览器应用程序中发现了10个新的地址栏欺骗漏洞。
受影响的浏览器包括苹果Safari、Opera Touch和Opera Mini等知名浏览器,也包括Bolt、RITS、UC Browser和Yandex Browser等小众应用。
这些问题是在今年早些时候发现的,并在8月份报告给浏览器制造商。大的厂商立即修复了这个问题,而小的厂商甚至都懒得回复研究人员,这使得他们的浏览器很容易受到攻击。
![4120dd855609f74004901ff448e48e80.png](https://i-blog.csdnimg.cn/blog_migrate/8f6606fa1681bbbcacdc5fcf895188ad.jpeg)
Rapid7的研究总监托德·比尔兹利(Tod Beardsley)说:“所有的开发都归结为‘JavaScript诡计’。”
Rapid7的执行总裁说,通过打乱页面加载和浏览器刷新地址栏URL的时间,恶意网站可能会迫使浏览器显示错误的地址。
每个bug的技术“诡计”的详细分解在这里,由Baloch详细说明。
利用任何这些漏洞都需要(1)过时的浏览器和(2)能够引诱用户进入恶意网站的攻击者。
Beardsley认为攻击很容易发动,建议用户尽快更新他们的浏览器,或者转移到不受这些漏洞影响的浏览器上。