Safari, Edge瀏覽器使用者小心URL spoof漏洞
一位網路安全研究人員Rafay Baloch近日發現了在Edge和Safari瀏覽器中都存在的一個位址列漏洞。目前微軟已經發布了針對瀏覽器的CVE-2018-8383系統補丁,而蘋果公司會在接下來的幾周內修復Safari瀏覽器的漏洞。
Rafay Baloch表示,黑客可以利用該漏洞,在瀏覽器位址列中輸入正確網站地址,當瀏覽器開始載入正常網站時,黑客立刻將網頁內容替換成惡意網站,而位址列中的網址還是原先的正常網站網址。所以不要以為網址正確,所顯示的網頁就一定是正確。
接著黑客在載入的虛假網頁上建立假冒的登入視窗或其他輸入框,當用戶在其中輸入時黑客就獲得了他們所需的個人資訊。在Rafay Baloch的演示中,利用瀏覽器載入網頁過程中的間隔時間縫隙,將網頁內容替換為其他,而位址列上的網址不變。
以下是他上傳的Edge瀏覽器演示視訊:
Safari演示視訊: