近日,网络安全公司Rapid7与巴基斯坦安全研究人员Rafay Baloch在7个移动客户端浏览器app中发现了10个新的地址栏欺骗漏洞,这7个浏览器APP分为是Apple Safari、Opera Touch、Opera Mini、Bolt、RITS、UC Browser和Yandex。
技术细节
漏洞1 PoC
图 1: MAC OS HIGH SIERRA 10.13.6 (17G14019)中的地址栏欺骗
图 2: Safari Version 13.1.2 (13609.3.5.1.5) 中的地址栏欺骗
漏洞2 PoC
下面的PoC 证明了yandex 浏览器安卓版和opera touch iOS版本中的基于浏览器的欺骗漏洞:
图 3: Yandex浏览器安卓版中的地址欺骗漏洞
图 4: opera touch iOS版本中的地址欺骗漏洞
漏洞3 PoC
漏洞4 PoC
下面的PoC 证明了Opera浏览器iOS 版本中的基于浏览器的欺骗漏洞。数据方案后的任意URL 会导致URL的保持并触发地址栏欺骗条件。
Spoof 13
图 7: Opera touch 浏览器中的地址欺骗漏洞
漏洞5 PoC
图 8: UC 浏览器安卓版中的地址欺骗漏洞
图 9: Opera Mini浏览器安卓版中的地址欺骗漏洞
◆网络安全大事件 | 美国大型连锁书店Barnes&Noble遭遇黑客攻击!
关于我们:
河北镌远网络科技有限公司(Hebei JYCYBER TechnologyCo.,Ltd.)是一家集人才、技术和经验于一体的,提供全面网络安全解决方案的专业服务商。镌远科技致力于为各行业的网络安全需求提供软件研发和通用解决方案,业务领域主要包括基础服务、咨询业务、产品研发和安全培训四大版块,各版块相互独立又相辅相成,完美阐释了“专业服务、全程服务、延伸服务”的服务体系和“单一业务与长远目标相融合”的服务理念。
关注镌远科技,关注网络安全!
河北分公司:河北镌远网络科技有限公司
地址:河北省邯郸市丛台区中华北大街193号慧谷大厦14层
总公司:北京冠程科技有限公司
地址:北京市昌平区科技园区东区产业基地企业墅上区一号楼九单元四层
实训基地:河北省石家庄市电子信息学校冠程科技研究与实训中心
欢迎关注我们,及时了解更多关于网络安全相关知识