Top
首页 > 网络和信息安全 > 重磅推荐 > 正文

安全研究人员通过URL欺骗漏洞绕过某些浏览器安全功能

安全研究员Rafay Baloch找到一种简单方法,可破坏几个浏览器安全功能并欺骗浏览器地址栏中的URL。
发布时间:2016-08-19 09:29        来源:easyaq.com        作者:

安全研究员Rafay Baloch找到一种简单方法,可破坏几个浏览器安全功能并欺骗浏览器地址栏中的URL。

在本文发布之际,谷歌和Mozilla已修复这个问题,但Baloch表示其他浏览器厂商依然在着手解决这个问题,此外他表示自己从谷歌获得5000美元的漏洞奖励。

简单来说,这个问题是因为浏览器将URL根RTL(阿拉伯)跟LTR(罗马)字符混在了一起。于是有一些浏览器将URL中的某些部分进行了转换,导致用户以为访问的站点跟真正想访问的不一样。例如,在Chrome浏览器中,这个漏洞将158.10.230.11/ا/http://google.com转换成了http://google.com/ا/158.10.230.11。

运行钓鱼站点的黑客能够拿下服务器的IP地址,将其中一个可触发该行为的阿拉伯字符放在URL地址中间,并在结尾附上一个合法网站的域。随后他们会 将这个URL置于垃圾邮件、或短消息中。当用户点击该地址时就会进入显示以有效域开头的URL页面但实际上到达的是犯罪分子的服务器。Baloch表 示,IP地址部分可被轻易隐藏掉,尤其是在移动浏览器中。

火狐浏览器中也出现了这个问题(CVE-2016-5267)并已被修复,不过情况略有不同,因为Mozilla使用的代码库跟谷歌不同。攻击者必 须在恶意URL中使用阿拉伯字符如http://عربي.امارات/google.com/test/test/test.。当访问该链接时浏览器 就会将其显示为http://google.com/test/test/test/عربي.امارات/.。

用户应该将浏览器更新至最新版本以免受该漏洞的影响。

 

专题访谈

合作站点
stat