最近幾個(gè)不同的Web瀏覽器出現(xiàn)地址欄欺騙漏洞。這些漏洞背后的問(wèn)題是什么?

[[157657]]

JavaScript函數(shù)setInterval是HTML DOM窗口對(duì)象的一種方法，能連續(xù)執(zhí)行指定代碼。Deusen研究人員發(fā)現(xiàn)，通過(guò)使用setInterval函數(shù)每10秒重新加載網(wǎng)頁(yè)，攻擊者能夠讓地址欄顯示真正有請(qǐng)求的站點(diǎn)的URL而瀏覽器上顯示的則是攻擊惡意網(wǎng)頁(yè)的內(nèi)容。在某些情況下，比如iPad上的Safari，能夠作為一次釣魚(yú)攻擊的一部分。JavaScript代碼執(zhí)行攻擊是非常簡(jiǎn)單的，他不斷地重新加載攻擊者的頁(yè)面。這導(dǎo)致用戶(hù)查看攻擊者的頁(yè)面，然而地址欄上仍舊顯示用戶(hù)需求的頁(yè)面URL。這就是當(dāng)用戶(hù)以為他們?cè)L問(wèn)一個(gè)合法網(wǎng)站時(shí)，實(shí)際上看到的是一個(gè)被攻擊者控制的網(wǎng)站。

顯而易見(jiàn)，setInterval方法遭誤用時(shí)，網(wǎng)頁(yè)以百分之一秒快速重載，這導(dǎo)致大多數(shù)設(shè)備鎖定或是網(wǎng)頁(yè)變得不可用。同時(shí)，地址欄會(huì)一直閃爍。一種更活躍的地址欄欺騙漏洞存在于Android瀏覽器中。當(dāng)結(jié)合window.open時(shí)，該瀏覽器無(wú)法處理204無(wú)內(nèi)容響應(yīng)。204無(wú)內(nèi)容意味著服務(wù)器成功處理了請(qǐng)求，但卻不返回任何內(nèi)容。Android安全團(tuán)隊(duì)已經(jīng)發(fā)布了補(bǔ)丁，但這取決于電信運(yùn)營(yíng)商是否分發(fā)了下去。

Web瀏覽器的地址欄是用戶(hù)查看其是否在所需網(wǎng)站上的一個(gè)關(guān)鍵指標(biāo)。如果攻擊者能夠控制它顯示的內(nèi)容，則釣魚(yú)攻擊更有可能成功實(shí)施。作為一個(gè)網(wǎng)站管理員，當(dāng)用戶(hù)瀏覽器上有漏洞時(shí)，沒(méi)有什么太好的法子阻止黑客利用地址欄欺騙漏洞來(lái)盜竊用戶(hù)的敏感數(shù)據(jù)。這些漏洞很可能構(gòu)成重大的威脅，不過(guò)這也提醒了人們應(yīng)該使用最新的瀏覽器軟件，并定期參加安全意識(shí)會(huì)話(huà)學(xué)習(xí)篡改地址欄的釣魚(yú)技術(shù)。

為了防止員工上這類(lèi)漏洞欺騙的當(dāng)，企業(yè)應(yīng)當(dāng)為他們安排安全培訓(xùn)，加強(qiáng)對(duì)這類(lèi)攻擊的認(rèn)識(shí)，不亂點(diǎn)擊不明來(lái)源的鏈接。