安全研究人员通过URL欺骗漏洞绕过某些浏览器安全功能

关注 2016-08-19 10:51:25 查看数 16041 ,评论数 0 资讯
在本文发布之际,谷歌和Mozilla已修复这个问题,但Baloch表示其他浏览器厂商依然在着手解决这个问题,此外他表示自己从谷歌获得5000美元的漏洞奖励。 简单来说,这个问题是因为浏览器将URL根RTL(阿拉伯)跟LTR(罗马)字符混在了一起。于是有一些浏览器将URL中的某些部分进行了转换,导致用户以为访问的站点跟真正想访问的不一样。例如,在Chrome浏览器中,这个漏洞将158.10.230.11/ا/http://google.com转换成了http://google.com/ا/158.10.230.11。 1 运行钓鱼站点的黑客能够拿下服务器的IP地址,将其中一个可触发该行为的阿拉伯字符放在URL地址中间,并在结尾附上一个合法网站的域。随后他们会 将这个URL置于垃圾邮件、或短消息中。当用户点击该地址时就会进入显示以有效域开头的URL页面但实际上到达的是犯罪分子的服务器。Baloch表 示,IP地址部分可被轻易隐藏掉,尤其是在移动浏览器中。 火狐浏览器中也出现了这个问题(CVE-2016-5267)并已被修复,不过情况略有不同,因为Mozilla使用的代码库跟谷歌不同。攻击者必 须在恶意URL中使用阿拉伯字符如http://عربي.امارات/google.com/test/test/test.。当访问该链接时浏览器 就会将其显示为http://google.com/test/test/test/عربي.امارات/.。 用户应该将浏览器更新至最新版本以免受该漏洞的影响。  

*参考来源: E安全  Mottoin整理发布

交流评论(0)
Loading...
点击 ,就能发表评论哦~如果您还没有账号,请 一个吧
css.php
正在加载中...