眼见不一定为实:苹果Safari浏览器曝钓鱼漏洞

眼见不一定为实:苹果Safari浏览器曝钓鱼漏洞

黑客资讯访客2021-10-11 23:42:008004A+A-

苹果Safari浏览器曝出一个可被攻击者用作钓鱼攻击的新漏洞


当用户以为打开某个网站时,其实在访问另一个网址。例如,当用户在浏览deusen.co.uk网站内容时,浏览器地址栏中显示的却是dailymail.co.uk地址。
漏洞利用
研究团队Deusen演示了这个网址欺诈漏洞会如何被黑客用来欺骗用户,让用户以为他们访问的是正规的网站。尽管研究人员提供的POC不是很完美,但也足以修复这一问题。
POC测试地址:http://www.deusen.co.uk/items/iwhere.9500182225526788/
iPad air 2中的Safari浏览器:

iPad-air-2中的Safari浏览器:

iPad air 2 Google chrome浏览器:

iPad-air-2-Google-chrome浏览器:

原理分析
通过快速分析Deusen团队的演示页面,我们发现,演示页面似乎强制Safari用户访问每日邮报的URL,你可以在浏览器UI这里看出来。这段脚本会在页面加载完毕之前加载另外一个URL。
脚本如下:
<script>
function f()
{ location=”dailymail.co.uk/home/index.htm…”+Math.random(); }
setInterval(“f()”,10);
</script>
在浏览器找到真正的网页之前,利用setInterval()函数网页会每10毫秒重新加载一次,直至找到真正的网页。

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 4条评论
  • 野欢皆叹2022-06-03 01:22:48
  • 网页之前,利用setInterval()函数网页会每10毫秒重新加载一次,直至找到真正的网页。
  • 边侣冢渊2022-06-03 01:17:23
  • ms/iwhere.9500182225526788/iPad air 2中的Safari浏览器:iPad-air-2中的Safari浏览器:iPad air 2 Google chrome浏览器:iPad-air-2-Googl
  • 绿邪好倦2022-06-02 17:45:08
  • 函数网页会每10毫秒重新加载一次,直至找到真正的网页。
  • 只酷双笙2022-06-03 01:37:03
  • t>在浏览器找到真正的网页之前,利用setInterval()函数网页会每10毫秒重新加载一次,直至找到真正的网页。

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理