自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

利用第三方瀏覽器漏洞釣魚

安全 應(yīng)用安全
現(xiàn)在各種各樣的瀏覽器導(dǎo)出不窮,然而都是建立在IE內(nèi)核基礎(chǔ)上的,而且在安全方面,這些"擴展"版本瀏覽器遠比IE差了許多,很可能IE正常訪問的頁面,被這些第三方瀏覽器一訪問,就立刻被木馬感染中招。因此,被多攻擊者都會利用第三方瀏覽器的漏洞進行跨站掛馬攻擊。

現(xiàn)在各種各樣的瀏覽器導(dǎo)出不窮,然而都是建立在IE內(nèi)核基礎(chǔ)上的,而且在安全方面,這些"擴展"版本瀏覽器遠比IE差了許多,很可能IE正常訪問的頁面,被這些第三方瀏覽器一訪問,就立刻被木馬感染中招。因此,被多攻擊者都會利用第三方瀏覽器的漏洞進行跨站掛馬攻擊。

 "繼承"的危險--第三方瀏覽器漏洞原因

很多人都不喜歡用IE瀏覽器,覺得IE瀏覽器不安全,功能也不夠強大。而可供選擇第三方瀏覽器非常多,比如Maxthon、世界之窗、Thooe等。這些瀏覽器提供了豐富的瀏覽功能,并且宣稱對增強了安全性,增強了隱私瀏覽之類的功能。

其實這些第三方瀏覽器,都是建立在IE內(nèi)核上的,在IE內(nèi)核的基礎(chǔ)上進行開發(fā)的。但是由于在使用IE內(nèi)核接口進行開發(fā)時,由于IE內(nèi)核本身存在著一些漏洞,因此這些瀏覽器也繼承了IE內(nèi)核的漏洞。到后期IE進行內(nèi)核漏洞修補時,這些第三方瀏覽器使用的還是舊的IE內(nèi)核,因此一些在IE中被修復(fù)了的舊漏洞,卻在第三方瀏覽器中存在著,導(dǎo)致了第三方瀏覽器漏洞的產(chǎn)生!

由于"繼承"特性造成的漏洞非常多,可能會造成第三方瀏覽器的用戶被掛馬、釣魚欺騙等,這里先來看一個小漏洞。

在以前的IE中存在著一個"@"漏洞,常常被用來進行網(wǎng)絡(luò)釣魚欺騙,不過現(xiàn)在IE已經(jīng)補上了這個漏洞,可是各種第三方瀏覽器中卻還存在著這個古老的漏洞。

首先,打開IE瀏覽器,輸入訪問如下的網(wǎng)址:

http://www.baidu.com@www.qq.com/

可以看到IE返回了錯誤的信息(圖1),提示無法訪問"www.baidu.com@www.qq.com"這個域名,說明"@"符號是被當作了域名中的一個字符。

圖1

圖1

再打開世界之窗瀏覽器(圖129)、Maxthon(圖130)等,同樣訪問上面的網(wǎng)址,可以看到返回了正常的QQ騰訊網(wǎng)頁頁面。不過這個頁面的域名鏈接地址是"@"之后的內(nèi)容,也就是說,"@"符號被當成了一個分隔符,之前的百度域名字符被忽略了,僅保留了"@"后面的內(nèi)容。#p#

圖2 世界之窗@漏洞

圖2  世界之窗@漏洞

圖3 Maxthon瀏覽器@漏洞

圖3 Maxthon瀏覽器@漏洞#p#

魚是這樣釣的--第三方瀏覽器掛馬

從上面的測試可以看到,在IE瀏覽器中,"@"釣魚漏洞不存在了,但是第三方瀏覽器的流行,讓這個老漏洞又有了利用的價值。攻擊者可制作一個網(wǎng)頁木馬,詐騙用戶訪問打開此鏈接,從而導(dǎo)致遭受網(wǎng)頁木馬攻擊。攻擊者在一個論壇中發(fā)布一張欺騙性的帖子,假如帖子的主題為"注冊網(wǎng)上銀行中大獎啦!",在帖子內(nèi)容中輸入一些欺騙誘惑性的內(nèi)容,并留下網(wǎng)絡(luò)銀行的鏈接地址,誘騙用戶登錄自己偽造的虛假網(wǎng)站上。其中最重要的一個環(huán)節(jié)就是構(gòu)造虛擬的鏈接地址,讓用戶以為自己登錄的是正確的網(wǎng)站,一般來說,攻擊者可將撰寫模式切換為HTML,在帖子中加入如下的代碼:

點擊<a href="https://mybank.icbc.com.cn/icbc/perbank/regtip.jsp           @www.sina.com.cn/">http://www.icbc.com.cn/</a> ,即可登錄注冊開通網(wǎng)上銀行中1萬元大獎!

注意,這里在"@"前加入了空格及一個真的工行鏈接,以便在狀態(tài)欄中顯示鏈接時,隱藏"@"符號及后面的假工行鏈接。

當帖子發(fā)布以后,在網(wǎng)頁中顯示的將是"http://www.icbc.com.cn"鏈接地址,即使將鼠標移動到連接上在狀態(tài)欄上看起來依然連接到"http://www.icbc.com.cn"的網(wǎng)站上(圖4),但是當用戶點擊鏈接后,會連接到在網(wǎng)頁中顯示的是"中國工商銀行網(wǎng)上銀行",但是當用戶點擊該鏈接時,卻連接到了偽造的網(wǎng)站上。如果攻擊者將新浪的網(wǎng)址換成網(wǎng)頁木馬鏈接地址,那么用戶就很有可能上當受騙。

圖4 @漏洞傳播網(wǎng)馬

圖4 @漏洞傳播網(wǎng)馬

另外,在一些第三方瀏覽器其它更為嚴重的跨域欺騙漏洞、XSS跨站腳本漏洞等,由于利用的方法比較復(fù)雜,因此這里就不多作講解了。

 

【編輯推薦】

  1. 對搜狐、網(wǎng)易和TOM三大門戶網(wǎng)站的SQL注入漏洞檢測
  2. Adobe警告嚴重Shockwave Flash Player零日漏洞
  3. VeriSign數(shù)字證書GeoTrust和RapidSSL現(xiàn)嚴重漏洞
  4. 用社工對抗社工——RSA身份認證總監(jiān)Uri Rivner談釣魚
責任編輯:佟健 來源: 《大中型網(wǎng)絡(luò)入侵要案》
第三方瀏覽器漏洞釣魚
相關(guān)推薦

2012-06-29 14:49:55

海豚瀏覽器API

2017-12-01 11:09:06

谷歌Chrome瀏覽器

2009-04-20 09:36:33

2015-11-05 16:44:37

第三方登陸android源碼

2023-07-22 09:05:33

微軟Edge瀏覽器

2021-01-26 14:58:06

谷歌瀏覽器Cookie

2011-10-08 14:37:59

漏洞

2011-04-21 15:40:52

微軟漏洞報告

2011-07-03 18:59:27

流量

2021-08-26 09:31:46

微軟Edge瀏覽器

2025-04-23 08:16:54

Chrome瀏覽器Cookie

2013-06-25 09:10:36

云數(shù)據(jù)安全云學(xué)習(xí)曲線云安全

2012-01-04 14:02:26

JsonCpp

2014-07-23 08:55:42

iOSFMDB

2019-07-30 11:35:54

AndroidRetrofit

2022-01-04 14:33:31

微軟Edge瀏覽器

2015-03-05 09:48:44

2013-11-12 09:52:38

2021-06-02 09:26:42

谷歌 Chrome 90 瀏覽器

2023-08-08 07:36:40

微軟Bing Chat
點贊
收藏

51CTO技術(shù)棧公眾號