在移动版Chrome浏览器中,当用户向下滚动时,浏览器会自动隐藏URL栏,将URL栏占用的屏幕空间还给网页。而对于大多数用户来说,URL栏的这个位置可以说是浏览器中最可信的部位,如果用户想要判断你正访问网站的网址是什么,大多数人第一时间看看URL栏。因此,浏览器的URL栏也成了钓鱼攻击的重点部位,研究人员发现了一种伪造“URL栏”的方法——利用inceptionbar。一般,当用户在Chrome浏览器中下滑时,Chrome会重新显示真实的URL栏,而非一直隐藏。但是可以通过一种方式来欺骗Chrome,让浏览器永远不会显示真实的URL栏!一旦Chrome隐藏了URL栏,就可以整个页面内容移动到“scrolljail”中——这里研究人员利用了overflow:scroll。当用户用手指上下滑动时,会误以为认为他们是在当前页面中向上滚动,但事实上用户只是研究人员设置的“scrolljail”中滑动!就像是做梦中一样,用户以为他们在浏览器中,但实际上是在浏览器中的一个区块中。这是一个严重的安全漏洞吗?是的。因为作为一个安全人员都很难第一时间识破这个钓鱼网站,所以可以想象如果是完全不懂网络知识的用户,在面对这种网站时的戒心有多低!如何防御这种攻击呢?我们认为这是Chrome的问题。因为正是Chrome隐藏URL栏的逻辑让黑客有了可乘之机,当然我们也完全理解谷歌想节约页面空间的做法。目前为止,我们觉得最好解决方法就是在Chrome隐藏URL栏时,做出提示,让用户意识到“URL栏当前已隐藏”。
转载请注明:http://blog.hzbdfjk.com/sstx/6450.html
联系电话: