日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
利用第三方瀏覽器漏洞釣魚

現(xiàn)在各種各樣的瀏覽器導(dǎo)出不窮,然而都是建立在IE內(nèi)核基礎(chǔ)上的,而且在安全方面,這些"擴(kuò)展"版本瀏覽器遠(yuǎn)比IE差了許多,很可能IE正常訪問的頁面,被這些第三方瀏覽器一訪問,就立刻被木馬感染中招。因此,被多攻擊者都會利用第三方瀏覽器的漏洞進(jìn)行跨站掛馬攻擊。

10年積累的成都網(wǎng)站制作、成都做網(wǎng)站經(jīng)驗,可以快速應(yīng)對客戶對網(wǎng)站的新想法和需求。提供各種問題對應(yīng)的解決方案。讓選擇我們的客戶得到更好、更有力的網(wǎng)絡(luò)服務(wù)。我雖然不認(rèn)識你,你也不認(rèn)識我。但先網(wǎng)站設(shè)計制作后付款的網(wǎng)站建設(shè)流程,更有北川羌族免費網(wǎng)站建設(shè)讓你可以放心的選擇與我們合作。

 "繼承"的危險--第三方瀏覽器漏洞原因

很多人都不喜歡用IE瀏覽器,覺得IE瀏覽器不安全,功能也不夠強大。而可供選擇第三方瀏覽器非常多,比如Maxthon、世界之窗、Thooe等。這些瀏覽器提供了豐富的瀏覽功能,并且宣稱對增強了安全性,增強了隱私瀏覽之類的功能。

其實這些第三方瀏覽器,都是建立在IE內(nèi)核上的,在IE內(nèi)核的基礎(chǔ)上進(jìn)行開發(fā)的。但是由于在使用IE內(nèi)核接口進(jìn)行開發(fā)時,由于IE內(nèi)核本身存在著一些漏洞,因此這些瀏覽器也繼承了IE內(nèi)核的漏洞。到后期IE進(jìn)行內(nèi)核漏洞修補時,這些第三方瀏覽器使用的還是舊的IE內(nèi)核,因此一些在IE中被修復(fù)了的舊漏洞,卻在第三方瀏覽器中存在著,導(dǎo)致了第三方瀏覽器漏洞的產(chǎn)生!

由于"繼承"特性造成的漏洞非常多,可能會造成第三方瀏覽器的用戶被掛馬、釣魚欺騙等,這里先來看一個小漏洞。

在以前的IE中存在著一個"@"漏洞,常常被用來進(jìn)行網(wǎng)絡(luò)釣魚欺騙,不過現(xiàn)在IE已經(jīng)補上了這個漏洞,可是各種第三方瀏覽器中卻還存在著這個古老的漏洞。

首先,打開IE瀏覽器,輸入訪問如下的網(wǎng)址:

http://www.baidu.com@www.qq.com/

可以看到IE返回了錯誤的信息(圖1),提示無法訪問"www.baidu.com@www.qq.com"這個域名,說明"@"符號是被當(dāng)作了域名中的一個字符。

圖1

再打開世界之窗瀏覽器(圖129)、Maxthon(圖130)等,同樣訪問上面的網(wǎng)址,可以看到返回了正常的QQ騰訊網(wǎng)頁頁面。不過這個頁面的域名鏈接地址是"@"之后的內(nèi)容,也就是說,"@"符號被當(dāng)成了一個分隔符,之前的百度域名字符被忽略了,僅保留了"@"后面的內(nèi)容。#p#

圖2  世界之窗@漏洞

圖3 Maxthon瀏覽器@漏洞#p#

魚是這樣釣的--第三方瀏覽器掛馬

從上面的測試可以看到,在IE瀏覽器中,"@"釣魚漏洞不存在了,但是第三方瀏覽器的流行,讓這個老漏洞又有了利用的價值。攻擊者可制作一個網(wǎng)頁木馬,詐騙用戶訪問打開此鏈接,從而導(dǎo)致遭受網(wǎng)頁木馬攻擊。攻擊者在一個論壇中發(fā)布一張欺騙性的帖子,假如帖子的主題為"注冊網(wǎng)上銀行中大獎啦!",在帖子內(nèi)容中輸入一些欺騙誘惑性的內(nèi)容,并留下網(wǎng)絡(luò)銀行的鏈接地址,誘騙用戶登錄自己偽造的虛假網(wǎng)站上。其中最重要的一個環(huán)節(jié)就是構(gòu)造虛擬的鏈接地址,讓用戶以為自己登錄的是正確的網(wǎng)站,一般來說,攻擊者可將撰寫模式切換為HTML,在帖子中加入如下的代碼:

點擊http://www.icbc.com.cn/ ,即可登錄注冊開通網(wǎng)上銀行中1萬元大獎!

注意,這里在"@"前加入了空格及一個真的工行鏈接,以便在狀態(tài)欄中顯示鏈接時,隱藏"@"符號及后面的假工行鏈接。

當(dāng)帖子發(fā)布以后,在網(wǎng)頁中顯示的將是"http://www.icbc.com.cn"鏈接地址,即使將鼠標(biāo)移動到連接上在狀態(tài)欄上看起來依然連接到"http://www.icbc.com.cn"的網(wǎng)站上(圖4),但是當(dāng)用戶點擊鏈接后,會連接到在網(wǎng)頁中顯示的是"中國工商銀行網(wǎng)上銀行",但是當(dāng)用戶點擊該鏈接時,卻連接到了偽造的網(wǎng)站上。如果攻擊者將新浪的網(wǎng)址換成網(wǎng)頁木馬鏈接地址,那么用戶就很有可能上當(dāng)受騙。

圖4 @漏洞傳播網(wǎng)馬

另外,在一些第三方瀏覽器其它更為嚴(yán)重的跨域欺騙漏洞、XSS跨站腳本漏洞等,由于利用的方法比較復(fù)雜,因此這里就不多作講解了。

 

【編輯推薦】

  1. 對搜狐、網(wǎng)易和TOM三大門戶網(wǎng)站的SQL注入漏洞檢測
  2. Adobe警告嚴(yán)重Shockwave Flash Player零日漏洞
  3. VeriSign數(shù)字證書GeoTrust和RapidSSL現(xiàn)嚴(yán)重漏洞
  4. 用社工對抗社工——RSA身份認(rèn)證總監(jiān)Uri Rivner談釣魚

文章題目:利用第三方瀏覽器漏洞釣魚
本文URL:http://m.5511xx.com/article/djsocpd.html