巴基斯坦研究人員Rafa Baloch等人,曾經揭露Safari、微軟Edge手機版出現的網址列欺騙(Address Bar Spoofing)漏洞。安全廠商Rapid7近日又和Baloch合作,揭露新一波發現的網址列欺騙漏洞。攻擊者利用網頁載入和瀏覽器更新網址的時間差,引發來自惡意網站的跳出視窗,或是在瀏覽器中載入惡意網站的內容。(圖片翻攝自:https://www.youtube.com/watch?v=Xaw43A4YEWo by Rafay Baloch)
Rapid7安全研究人員本周揭露包括蘋果Safari、Opera 等7個手機版瀏覽器存在漏洞,恐讓用戶在不知情下連向惡意網站。
為了確保用戶連上的網站是真實,而非釣魚網站或其他惡意網站,包括Google、Mozilla、蘋果等業者會在瀏覽器中加入識別體系,像是在網址列加入延伸驗證(extended validation,EV)的鎖頭圖示來證明網站的真實性。但是礙於手機螢幕有限的面積,這些設計會從手機版瀏覽器拿掉。而這也給了惡意人士上下其手的空間。
巴基斯坦研究人員Rafa Baloch等人,曾經揭露Safari、微軟Edge手機版出現的網址列欺騙(Address Bar Spoofing)漏洞。這類漏洞主要是利用手機版瀏覽器無法顯示真偽的缺點,將用戶導向惡意網站。
安全廠商Rapid7近日又和Baloch合作,揭露新一波發現的網址列欺騙漏洞。所有漏洞的攻擊都是一種「JavaScript詭計」(JavaScript shenanigan),即攻擊者利用網頁載入和瀏覽器更新網址的時間差,引發來自惡意網站的跳出視窗,或是在瀏覽器中載入惡意網站的內容。
他們檢視過有漏洞的瀏覽器包括Apple Safari、Opera Touch和Opera Mini,以及較小的瀏覽器如Bolt、RITS、UC Browser和Yandex。其中,Safari的漏洞出在它會保留任意port上呼叫的網頁URL網址,但Javascript setInterval函式每2毫秒重新載入不同port的網頁內容,中間的時間差令使用者無法辨識原本的URL已經導向假URL。而Safari預設不顯示URL port number也讓漏洞攻擊更有效。該漏洞存在iOS及Android版Safari。Opera Mini iOS及Android UC Browser也有類似漏洞。
研究人員8月通報上述業者,其中蘋果和Opera等大型廠商已經迅速修補,但仍有一家公司連回應都沒。
研究人員並提醒,這類攻擊不會出現在管理良好,做好Javascript詭計防護的網站如臉書、Reddit、Twitter,但攻擊者會設立有惡意Javascript的網站,並以訊息或釣魚信件將連結傳給使用者。另一條件是瀏覽器有漏洞而未修補。因此防範這類攻擊最好的方法,是更新瀏覽器到最新版,以及小心來路不明的網站連結。
精選專案.網頁設計.RWD響應式網站.企業形象網站 / 建築設計類
網站技術:PHP . Javascript/MySql
RWD響應式網站設計/網頁設計,網頁切版,後台程式管理
精選專案.網頁設計.RWD響應式網站 / 戶外旅遊類
網站技術:PHP . Javascript/MS-SQL
不論是個人、情侶、好友或是家庭想要安排一場獨一無二的旅遊!!趣吧有滿滿的夢幻行程可以滿足,機票、包車、住宿、票劵一次搞定;想要出國怕語言不通,也有專業達人協助。 讓你擁有一場難忘又滿足的旅遊。
精選專案.網頁設計.RWD響應式網站 / 教育人文類
網站技術:PHP . Javascript/MySql
當提到英文廣播就會想到ICRT,配合生動有趣的主持人,馬上吸引各群族的聽眾。ICRT非常具有教育,長時間收聽是可以增進聽力與口說的喔。 目前可透過PC版與APP版來作收聽ICRT,操作簡易不困難。
電話:(02)2739-9096 | 傳真:(02)2739-6637 | 客服:[email protected] | 臺北市信義區和平東路3段257號6樓map
© 2019 傑立資訊 All rights reserved.| 網站隱私政策