最近幾個不同的Web瀏覽器出現(xiàn)地址欄欺騙漏洞。這些漏洞背后的問題是什么?

[[157657]]

JavaScript函數(shù)setInterval是HTML DOM窗口對象的一種方法，能連續(xù)執(zhí)行指定代碼。Deusen研究人員發(fā)現(xiàn)，通過使用setInterval函數(shù)每10秒重新加載網(wǎng)頁，攻擊者能夠讓地址欄顯示真正有請求的站點(diǎn)的URL而瀏覽器上顯示的則是攻擊惡意網(wǎng)頁的內(nèi)容。在某些情況下，比如iPad上的Safari，能夠作為一次釣魚攻擊的一部分。JavaScript代碼執(zhí)行攻擊是非常簡單的，他不斷地重新加載攻擊者的頁面。這導(dǎo)致用戶查看攻擊者的頁面，然而地址欄上仍舊顯示用戶需求的頁面URL。這就是當(dāng)用戶以為他們訪問一個合法網(wǎng)站時，實(shí)際上看到的是一個被攻擊者控制的網(wǎng)站。

顯而易見，setInterval方法遭誤用時，網(wǎng)頁以百分之一秒快速重載，這導(dǎo)致大多數(shù)設(shè)備鎖定或是網(wǎng)頁變得不可用。同時，地址欄會一直閃爍。一種更活躍的地址欄欺騙漏洞存在于Android瀏覽器中。當(dāng)結(jié)合window.open時，該瀏覽器無法處理204無內(nèi)容響應(yīng)。204無內(nèi)容意味著服務(wù)器成功處理了請求，但卻不返回任何內(nèi)容。Android安全團(tuán)隊(duì)已經(jīng)發(fā)布了補(bǔ)丁，但這取決于電信運(yùn)營商是否分發(fā)了下去。

Web瀏覽器的地址欄是用戶查看其是否在所需網(wǎng)站上的一個關(guān)鍵指標(biāo)。如果攻擊者能夠控制它顯示的內(nèi)容，則釣魚攻擊更有可能成功實(shí)施。作為一個網(wǎng)站管理員，當(dāng)用戶瀏覽器上有漏洞時，沒有什么太好的法子阻止黑客利用地址欄欺騙漏洞來盜竊用戶的敏感數(shù)據(jù)。這些漏洞很可能構(gòu)成重大的威脅，不過這也提醒了人們應(yīng)該使用最新的瀏覽器軟件，并定期參加安全意識會話學(xué)習(xí)篡改地址欄的釣魚技術(shù)。

為了防止員工上這類漏洞欺騙的當(dāng)，企業(yè)應(yīng)當(dāng)為他們安排安全培訓(xùn)，加強(qiáng)對這類攻擊的認(rèn)識，不亂點(diǎn)擊不明來源的鏈接。