"Xisigr在KCon2012上分享了关于浏览器魔术的议题,深入探讨了基于浏览器的各种欺骗手法,包括URL地址栏欺骗、URL状态栏欺骗、标签欺骗和页面欺骗。这些欺骗手法利用了浏览器的某些通用性和差异性,以及HTML5的新特性。Xisigr强调了Web安全的重要性,并提醒大家不要滥用技术来伤害他人。"
在《浏览器魔术》议题中,首席安全研究员Xisigr,来自天融信阿尔法实验室,专注于Web安全、HTML5安全和浏览器安全的研究。他通过一系列精彩的演示揭示了如何利用浏览器的特性和用户交互来实现各种欺骗效果。
首先,Xisigr提到了URL地址栏欺骗,这通常涉及到利用Onclick()、Onmouseup()和Onmousedown()等事件来篡改或误导用户关于实际URL的信息。此外,HTML5的pushState()方法也成为了新的欺骗手段,它可以改变浏览器的历史记录和URL,但用户界面并不刷新,增加了欺骗的隐蔽性。
接着,他讨论了URL状态栏欺骗,通过CSS样式处理,特别是在不同的浏览器如Chrome、Firefox和IE中,可以改变状态栏的行为,例如阻止地址栏的显示或者伪造状态栏信息。状态栏的欺骗还可以利用ondragstart事件和dataTransfer.setData('urltype','url')来实现拖放URL时的欺骗。
标签欺骗,又称Tabnabbing,是一种常见的浏览器安全问题。它发生在用户离开标签页后,恶意网站可以篡改标签的图标、标题和内容,当用户返回时,可能会误认为是原来的合法页面,从而落入钓鱼陷阱。这种攻击主要影响Chrome和Firefox。
页面欺骗则涉及界面伪装,包括Clickjacking、Drag&Drop Jacking和Tapjacking等,这些技术通过隐藏层和Frame包含,使用户看似在与一个对象交互,实际上是在操作隐藏在其下的目标对象。例如,拖放劫持就利用了用户对拖放操作的信任,而Clickjacking蠕虫攻击则能迅速传播并导致大量用户受害。
最后,Xisigr指出,这些欺骗手法往往利用了浏览器的多个函数竞争和阻塞,如导航函数、对话框函数和写页面函数,这些都可能成为攻击的切入点,造成逻辑错误,甚至实施域欺骗和钓鱼攻击。他以Clickjacking蠕虫攻击为例,展示了其在14小时内快速传播的轨迹。
在议题的结尾,Xisigr引用了电影《致命魔术》的台词,强调了技术的双刃剑性质,提醒所有技术人员应负责任地使用自己的技能,避免对他人造成伤害。这个议题不仅揭示了浏览器安全的脆弱性,也为业界提供了一个警示,促使大家更加重视和防范这类欺骗手法。