浏览器地址栏欺骗漏洞背后

最近几个不同的Web浏览器出现地址栏欺骗漏洞。这些漏洞背后的问题是什么?

JavaScript函数setInterval是HTML DOM窗口对象的一种方法，能连续执行指定代码。Deusen研究人员发现，通过使用setInterval函数每10秒重新加载 页，攻击者能够让地址栏显示真正有请求的站点的URL而浏览器上显示的则是攻击恶意 页的内容。在某些情况下，比如iPad上的Safari，能够作为一次钓鱼攻击的一部分。JavaScript代码执行攻击是非常简单的，他不断地重新加载攻击者的页面。这导致用户查看攻击者的页面，然而地址栏上仍旧显示用户需求的页面URL。这就是当用户以为他们访问一个合法 站时，实际上看到的是一个被攻击者控制的 站。

显而易见，setInterval方法遭误用时， 页以百分之一秒快速重载，这导致大多数设备锁定或是 页变得不可用。同时，地址栏会一直闪烁。一种更活跃的地址栏欺骗漏洞存在于Android浏览器中。当结合window.open时，该浏览器无法处理204无内容响应。204无内容意味着服务器成功处理了请求，但却不返回任何内容。Android安全团队已经发布了补丁，但这取决于电信运营商是否分发了下去。

Web浏览器的地址栏是用户查看其是否在所需 站上的一个关键指标。如果攻击者能够控制它显示的内容，则钓鱼攻击更有可能成功实施。作为一个 站管理员，当用户浏览器上有漏洞时，没有什么太好的法子阻止黑客利用地址栏欺骗漏洞来盗窃用户的敏感数据。这些漏洞很可能构成重大的威胁，不过这也提醒了人们应该使用最新的浏览器软件，并定期参加安全意识会话学习篡改地址栏的钓鱼技术。

上海软件开发