钓鱼网站|The inception bar:一种新型网络钓鱼手段
欢迎来到世界第七大银行汇丰银行的官网hsbc.com!好吧,相信大家都立马反应过来,汇丰银行的首页是不可能会放上我的照片。所以上面图片中的网站并不是hsbc.com,而是我自己的网站jameshfisher.com。但是,当你用chrome移动版浏览器上下滑动浏览这个“汇丰”网站时,会发现除了页面内容不合理,其余都很像hsbc.com,特别是那个地址栏,时刻提示这就是hsbc.com。在这篇文章中,我将介绍这种钓鱼网站是如何产生的以及针对这类钓鱼网站的防御措施(这些改进措施我相信对chrome来说并不是难事)。
介绍在移动版chrome浏览器中,当用户向下滚动时,浏览器会自动隐藏url栏,将url栏的屏幕空间交还给网页。而对于大多数用户来说,“url栏”这个位置可以说是信任度最高的浏览器部位,如果要判断你正访问网站的网址是什么,大多数人都会第一时间看向它。自然而然,这个浏览器部位也成了钓鱼页面制造者的攻击重点,而我正好发现了一种伪造“url栏”的方法,那就是利用inception bar!
大家都知道,当用户在chrome浏览器中向上滚动时,chrome会重新显示真正的url栏。但是,我们可以欺骗chrome,让它永远不会显示真正的url栏!一旦chrome隐藏了url栏,我们就会将整个页面内容移动到“scroll jail”(滚动监狱)中——这里我利用到一个新知识overflow:scroll。当用户用手指上下滑动时,会误以为认为他们是在当前页面中向上滚动,但事实上他们只是我设置的滚动监狱中滑动!就像是困在梦境中一样,用户认为他们在浏览器中,但实际上是在浏览器中的浏览器中。
演示视频:/2019/04/27/the-inception-bar-a-new-phishing-method/)中,可从源码看到:
假url栏使用了id为fakeurlbar的div标签,并将css设定为position: fixed,将其固定在最上方。
其次,作者还在body中制作了一个div标签,将其设定为overflow: scroll,并往里面放一个高为1000px的填充元素。当他人浏览网页时,其实只是在这个div里面滚动,而不是在全局body里滚动。
最后,为了防止他人浏览网页时滑动到最上方,看到真的url栏。作者通过javascript中的onscroll来控制滚动位置,让浏览者永远无法滑到最上方,相关代码如下:
后记这是一个严重的安全漏洞吗?我认为是的。因为我作为一个安全人员都很难第一时间识破这个钓鱼网站,所以我可以想象如果是完全不懂网络知识的用户,在面对这种网站时的戒心有多低!
如何防御这种攻击呢?我认为它是chrome的问题。因为正是chrome隐藏url栏的逻辑让我有了可乘之机,当然我也完全理解谷歌想节约页面空间的做法。目前为止,我觉得最好解决方法就是在chrome隐藏url栏时,做出提示,让用户意识到“url栏当前已隐藏”。
jayden lin也表示,类似的攻击以前也发现过,当时被称为picture-in-picture attacks,具体如下图:
感谢你的阅读!
迪玛展示 水滴形易拉宝/水滴形易拉宝/镀铬易拉宝
PPT图表做的能有多好看?国外的这些设计真的让人惊艳!
厂家直销国标好质量防草布,质量好.价格低,欢迎订购
加盟食在高包子快餐
优质环保紫铜线 电缆线铜芯 铜线材厂家直销
钓鱼网站|The inception bar:一种新型网络钓鱼手段
毕节海盗鬼皮书
谷稼坊特色老煎包加盟门槛高吗?连锁开店需要准备哪些设备?
用什么办法拯救频繁掉叶的多肉?
蒂亚娜全屋定制加盟要求是什么?
厂家大量出口优质耐磨 3D喷墨 木纹砖 绿色环保
高周波高频焊接机 冲浪包焊接机
全国联保12V100AH汤浅长寿命NP系列铅酸蓄电池批发
县城开茶饮店需要注意什么 开店如何经营
搬家送礼用华帝F4洗碗机怎么样,这款真不用安装就能用?
龙岗英语翻译口碑好
武昌汽车镀晶美容公司
中山单瓦楞纸箱价格哪家厂家便宜?
江门泰成逸园社会养老产业
安徽别墅固装系统卧室门/客厅门/室内门