利用第三方瀏覽器漏洞釣魚
現在各種各樣的瀏覽器導出不窮,然而都是建立在IE內核基礎上的,而且在安全方面,這些"擴展"版本瀏覽器遠比IE差了許多,很可能IE正常訪問的頁面,被這些第三方瀏覽器一訪問,就立刻被木馬感染中招。因此,被多攻擊者都會利用第三方瀏覽器的漏洞進行跨站掛馬攻擊。
"繼承"的危險--第三方瀏覽器漏洞原因
很多人都不喜歡用IE瀏覽器,覺得IE瀏覽器不安全,功能也不夠強大。而可供選擇第三方瀏覽器非常多,比如Maxthon、世界之窗、Thooe等。這些瀏覽器提供了豐富的瀏覽功能,并且宣稱對增強了安全性,增強了隱私瀏覽之類的功能。
其實這些第三方瀏覽器,都是建立在IE內核上的,在IE內核的基礎上進行開發的。但是由于在使用IE內核接口進行開發時,由于IE內核本身存在著一些漏洞,因此這些瀏覽器也繼承了IE內核的漏洞。到后期IE進行內核漏洞修補時,這些第三方瀏覽器使用的還是舊的IE內核,因此一些在IE中被修復了的舊漏洞,卻在第三方瀏覽器中存在著,導致了第三方瀏覽器漏洞的產生!
由于"繼承"特性造成的漏洞非常多,可能會造成第三方瀏覽器的用戶被掛馬、釣魚欺騙等,這里先來看一個小漏洞。
在以前的IE中存在著一個"@"漏洞,常常被用來進行網絡釣魚欺騙,不過現在IE已經補上了這個漏洞,可是各種第三方瀏覽器中卻還存在著這個古老的漏洞。
首先,打開IE瀏覽器,輸入訪問如下的網址:
http://www.baidu.com@www.qq.com/
可以看到IE返回了錯誤的信息(圖1),提示無法訪問"www.baidu.com@www.qq.com"這個域名,說明"@"符號是被當作了域名中的一個字符。
圖1
再打開世界之窗瀏覽器(圖129)、Maxthon(圖130)等,同樣訪問上面的網址,可以看到返回了正常的QQ騰訊網頁頁面。不過這個頁面的域名鏈接地址是"@"之后的內容,也就是說,"@"符號被當成了一個分隔符,之前的百度域名字符被忽略了,僅保留了"@"后面的內容。#p#
圖2 世界之窗@漏洞
圖3 Maxthon瀏覽器@漏洞#p#
魚是這樣釣的--第三方瀏覽器掛馬
從上面的測試可以看到,在IE瀏覽器中,"@"釣魚漏洞不存在了,但是第三方瀏覽器的流行,讓這個老漏洞又有了利用的價值。攻擊者可制作一個網頁木馬,詐騙用戶訪問打開此鏈接,從而導致遭受網頁木馬攻擊。攻擊者在一個論壇中發布一張欺騙性的帖子,假如帖子的主題為"注冊網上銀行中大獎啦!",在帖子內容中輸入一些欺騙誘惑性的內容,并留下網絡銀行的鏈接地址,誘騙用戶登錄自己偽造的虛假網站上。其中最重要的一個環節就是構造虛擬的鏈接地址,讓用戶以為自己登錄的是正確的網站,一般來說,攻擊者可將撰寫模式切換為HTML,在帖子中加入如下的代碼:
點擊<a href="https://mybank.icbc.com.cn/icbc/perbank/regtip.jsp @www.sina.com.cn/">http://www.icbc.com.cn/</a> ,即可登錄注冊開通網上銀行中1萬元大獎!
注意,這里在"@"前加入了空格及一個真的工行鏈接,以便在狀態欄中顯示鏈接時,隱藏"@"符號及后面的假工行鏈接。
當帖子發布以后,在網頁中顯示的將是"http://www.icbc.com.cn"鏈接地址,即使將鼠標移動到連接上在狀態欄上看起來依然連接到"http://www.icbc.com.cn"的網站上(圖4),但是當用戶點擊鏈接后,會連接到在網頁中顯示的是"中國工商銀行網上銀行",但是當用戶點擊該鏈接時,卻連接到了偽造的網站上。如果攻擊者將新浪的網址換成網頁木馬鏈接地址,那么用戶就很有可能上當受騙。
圖4 @漏洞傳播網馬
另外,在一些第三方瀏覽器其它更為嚴重的跨域欺騙漏洞、XSS跨站腳本漏洞等,由于利用的方法比較復雜,因此這里就不多作講解了。
【編輯推薦】
