CVE-2019-12329:DuckDuckGo安卓版URL欺骗攻击

栏目: 后端 · 前端 · 发布时间: 6年前

开源DuckDuckGo隐私浏览器安卓版5.26.0的安装量超过500万,通过利用地址栏欺骗漏洞攻击者很容易就开源发起针对app用户的URL欺骗攻击。安全研究人员Dhiraj Mishra将该漏洞详情报告给了厂商,该漏洞CVE编号为 CVE-2019-12329

研究人员在特别伪造的JS页面的帮助下证明了可以欺骗DuckDuckGo隐私浏览器的omnibar,该页面使用setInterval函数每10到50秒重加载URL一次。

因为真实的duckduckgo.com网站每50ms就自动加载一次,内部HTML被修改后展示的内容与Mishra博客的内容完全不同。

CVE-2019-12329:DuckDuckGo安卓版URL欺骗攻击

PoC

研究人员早在2018年10月31日就提交了该漏洞,但直到2019年5月27日才被告知并不是一个严重的问题。攻击者可以修改有漏洞的web浏览器的地址栏中展示的URL来引诱受害者认为他们访问的网站受控于可信的第三方。

但实际上该站点是被发起攻击的恶意攻击者控制的,攻击者滥用地址栏欺骗漏洞就会出现这样的情况。

CVE-2019-12329:DuckDuckGo安卓版URL欺骗攻击

DuckDuckGo omnibar欺骗攻击PoC

没有意识到危险的受害者就会被重定向到伪装为各种高知名度的站点,这些站点可以让攻击者通过钓鱼加载页面或通过垃圾广告活动在受害者机器上释放恶意软件的方式来窃取目标的信息。

在5月初,安全研究人员Arif Khan还发现了UC浏览器和UC浏览器Mini安卓版应用的URL地址欺骗攻击。URL地址栏欺骗是最恶劣的一种钓鱼攻击,因为这是唯一一种识别用户访问的站点的方式。


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

算法设计、分析与实现

算法设计、分析与实现

徐子珊 / 2012-10 / 65.00元

《算法设计、分析与实现:c、c++和java》由徐子珊编著,第1章~第6章按算法设计技巧分成渐增型算法、分治算法、动态规划算法、贪婪算法、回溯算法和图的搜索算法。每章针对一些经典问题给出解决问题的算法,并分析算法的时间复杂度。这样对于初学者来说,按照算法的设计方法划分,算法思想的阐述比较集中,有利于快速入门理解算法的精髓所在。一旦具备了算法设计的基本方法,按应用领域划分专题深入学习,读者可以结合已......一起来看看 《算法设计、分析与实现》 这本书的介绍吧!

HTML 编码/解码
HTML 编码/解码

HTML 编码/解码

RGB CMYK 转换工具
RGB CMYK 转换工具

RGB CMYK 互转工具

HEX HSV 转换工具
HEX HSV 转换工具

HEX HSV 互换工具