梅西转会费2200万欧签约5年|最终比分|沃尔姆斯|nba全明星mvp|中国女排二传手

全國統一服務熱線:4009266007 公司熱線:028-87540628 歡迎訪問成都云木科技有限公司官方網站
全國統一服務熱線:4009266007 公司熱線:028-87540628 歡迎訪問成都云木科技有限公司官方網站

首頁>資訊>行業 證明你訪問的網站是你想訪問的,Safari 真的需要

安全研究員在 Safari 上找到了一個新漏洞,能讓網站在瀏覽器的地址欄內將自己偽裝成另一個網站 —— 得益于 Safari 地址欄的“智能縮略”功能。

在 Deusen 最近公開的攻擊演示(PoC,Proof of Concept)中,他們在已經獲取最近更新的 iOS 和 OS X 設備上將一個自建的偽造頁面在地址欄里偽裝成每日郵報。釣魚網站或者詐騙者可以借用這種偽裝方式騙取用戶的賬戶密碼等敏感信息。

根據 arstechnica 的測試,Deusen 提供的 demo 在 iPad 上能夠明顯感覺到頁面加載后會有間斷性的自刷新行為,但很多普通用戶很可能無法察覺其中的異常。然而,在 OS X 環境中測試則不會有這種刷新“缺陷”存在。

根據 White Hat Security CTO Jeremiah Grossman 的分析,這種攻擊方式的原理大致為:代碼先指引 Safari 訪問希望偽造的網址,當地址欄顯示出對方域名后立刻改為加載自己的網站。代碼如下:<script> function f() { location="dailymail.co.uk/home/index.htm…"+Math.random(); } setInterval("f()",10); </script>這個 bug 曾在今年二月被同一個安全研究員提交至 Internet Explorer。本消息由云木科技提供。

你可能對以下文章感興趣
?