巴基斯坦研究人員Rafa Baloch等人,曾經揭露Safari、微軟Edge手機版出現的網址列欺騙(Address Bar Spoofing)漏洞。安全廠商Rapid7近日又和Baloch合作,揭露新一波發現的網址列欺騙漏洞。攻擊者利用網頁載入和瀏覽器更新網址的時間差,引發來自惡意網站的跳出視窗,或是在瀏覽器中載入惡意網站的內容。(圖片翻攝自:https://www.youtube.com/watch?v=Xaw43A4YEWo by Rafay Baloch)
Rapid7安全研究人員本周揭露包括蘋果Safari、Opera 等7個手機版瀏覽器存在漏洞,恐讓用戶在不知情下連向惡意網站。
為了確保用戶連上的網站是真實,而非釣魚網站或其他惡意網站,包括Google、Mozilla、蘋果等業者會在瀏覽器中加入識別體系,像是在網址列加入延伸驗證(extended validation,EV)的鎖頭圖示來證明網站的真實性。但是礙於手機螢幕有限的面積,這些設計會從手機版瀏覽器拿掉。而這也給了惡意人士上下其手的空間。
巴基斯坦研究人員Rafa Baloch等人,曾經揭露Safari、微軟Edge手機版出現的網址列欺騙(Address Bar Spoofing)漏洞。這類漏洞主要是利用手機版瀏覽器無法顯示真偽的缺點,將用戶導向惡意網站。
安全廠商Rapid7近日又和Baloch合作,揭露新一波發現的網址列欺騙漏洞。所有漏洞的攻擊都是一種「JavaScript詭計」(JavaScript shenanigan),即攻擊者利用網頁載入和瀏覽器更新網址的時間差,引發來自惡意網站的跳出視窗,或是在瀏覽器中載入惡意網站的內容。
他們檢視過有漏洞的瀏覽器包括Apple Safari、Opera Touch和Opera Mini,以及較小的瀏覽器如Bolt、RITS、UC Browser和Yandex。其中,Safari的漏洞出在它會保留任意port上呼叫的網頁URL網址,但Javascript setInterval函式每2毫秒重新載入不同port的網頁內容,中間的時間差令使用者無法辨識原本的URL已經導向假URL。而Safari預設不顯示URL port number也讓漏洞攻擊更有效。該漏洞存在iOS及Android版Safari。Opera Mini iOS及Android UC Browser也有類似漏洞。
研究人員8月通報上述業者,其中蘋果和Opera等大型廠商已經迅速修補,但仍有一家公司連回應都沒。
研究人員並提醒,這類攻擊不會出現在管理良好,做好Javascript詭計防護的網站如臉書、Reddit、Twitter,但攻擊者會設立有惡意Javascript的網站,並以訊息或釣魚信件將連結傳給使用者。另一條件是瀏覽器有漏洞而未修補。因此防範這類攻擊最好的方法,是更新瀏覽器到最新版,以及小心來路不明的網站連結。
精選專案.網頁設計.RWD響應式網站 / 農林漁牧類
網站技術:Javascript
響應式(RWD)網頁設計,設計UI/UX使用者體驗,可於各種裝置進行網頁瀏覽(PC、平板、手機)。
Line OA / 服務類
嬌聯寵物 LINE OA 官方帳號現在有毛小孩專區喔,不定時推出優惠或是商品,與寵物相關的資訊也會在官方帳號喔。趕快加入嬌聯寵物LINE官方帳號喔。
網頁設計.RWD響應式網站 / 休閒餐飲類
網站技術:PHP . Javascript/MySql . ORACLE
定期至人事系統取回員工資訊(含職級、個人基本資料)
定期將e-Learning系統中的訓練時數回傳至「人事系統」進行薪資的計算。
系統中的訓練時數回傳至並進行薪資計算
電話:(02)2739-9096 | 傳真:(02)2739-6637 | 客服:[email protected] | 臺北市信義區和平東路3段257號6樓map
© 2019 傑立資訊 All rights reserved.| 網站隱私政策