歡迎來(lái)到世界第七大銀行匯豐銀行的官網(wǎng)hsbc.com！好吧，相信大家都立馬反應(yīng)過(guò)來(lái)，匯豐銀行的首頁(yè)是不可能會(huì)放上我的照片。所以上面圖片中的網(wǎng)站并不是hsbc.com，而是我自己的網(wǎng)站jameshfisher.com。但是，當(dāng)你用Chrome移動(dòng)版瀏覽器上下滑動(dòng)瀏覽這個(gè)“匯豐”網(wǎng)站時(shí)，會(huì)發(fā)現(xiàn)除了頁(yè)面內(nèi)容不合理，其余都很像hsbc.com，特別是那個(gè)地址欄，時(shí)刻提示這就是hsbc.com。在這篇文章中，我將介紹這種釣魚(yú)網(wǎng)站是如何產(chǎn)生的以及針對(duì)這類釣魚(yú)網(wǎng)站的防御措施（這些改進(jìn)措施我相信對(duì)Chrome來(lái)說(shuō)并不是難事）。

介紹

在移動(dòng)版Chrome瀏覽器中，當(dāng)用戶向下滾動(dòng)時(shí)，瀏覽器會(huì)自動(dòng)隱藏URL欄，將URL欄的屏幕空間交還給網(wǎng)頁(yè)。而對(duì)于大多數(shù)用戶來(lái)說(shuō)，“URL欄”這個(gè)位置可以說(shuō)是信任度最高的瀏覽器部位，如果要判斷你正訪問(wèn)網(wǎng)站的網(wǎng)址是什么，大多數(shù)人都會(huì)第一時(shí)間看向它。自然而然，這個(gè)瀏覽器部位也成了釣魚(yú)頁(yè)面制造者的攻擊重點(diǎn)，而我正好發(fā)現(xiàn)了一種偽造“URL欄”的方法，那就是利用inception bar！

大家都知道，當(dāng)用戶在Chrome瀏覽器中向上滾動(dòng)時(shí)，Chrome會(huì)重新顯示真正的URL欄。但是，我們可以欺騙Chrome，讓它永遠(yuǎn)不會(huì)顯示真正的URL欄！一旦Chrome隱藏了URL欄，我們就會(huì)將整個(gè)頁(yè)面內(nèi)容移動(dòng)到“scroll jail”（滾動(dòng)監(jiān)獄）中——這里我利用到一個(gè)新知識(shí)overflow:scroll。當(dāng)用戶用手指上下滑動(dòng)時(shí)，會(huì)誤以為認(rèn)為他們是在當(dāng)前頁(yè)面中向上滾動(dòng)，但事實(shí)上他們只是我設(shè)置的滾動(dòng)監(jiān)獄中滑動(dòng)！就像是困在夢(mèng)境中一樣，用戶認(rèn)為他們?cè)跒g覽器中，但實(shí)際上是在瀏覽器中的瀏覽器中。

演示視頻：https://d33wubrfki0l68.cloudfront.net/783bd862c3df19b6fb4eac0b4f687d598c957891/a3915/assets/2019-04-27/demo.webm

從以上視頻中，大家應(yīng)該發(fā)現(xiàn)我們還有一個(gè)問(wèn)題沒(méi)解決，一旦用戶滾動(dòng)到“監(jiān)獄”的頂部，Chrome就會(huì)重新顯示URL欄。為了解決這個(gè)問(wèn)題，我可以“滾動(dòng)監(jiān)獄”的頂部插入一個(gè)非常高的填充元素。如果用戶嘗試滾動(dòng)到所填充的元素，就自動(dòng)向下滾動(dòng)到釣魚(yú)頁(yè)面的開(kāi)頭！這整套操作看起來(lái)很像頁(yè)面刷新。

釣魚(yú)網(wǎng)站細(xì)節(jié)

以下是Jayden Lin針對(duì)這種釣魚(yú)網(wǎng)站的解析。

在作者給出的演示網(wǎng)站（https://jameshfisher.com/2019/04/27/the-inception-bar-a-new-phishing-method/）中，可從源碼看到：

假URL欄使用了id為fakeurlbar的div標(biāo)簽，并將CSS設(shè)定為position: fixed，將其固定在最上方。

其次，作者還在body中制作了一個(gè)div標(biāo)簽，將其設(shè)定為overflow: scroll，并往里面放一個(gè)高為1000px的填充元素。當(dāng)他人瀏覽網(wǎng)頁(yè)時(shí)，其實(shí)只是在這個(gè)div里面滾動(dòng)，而不是在全局body里滾動(dòng)。

最后，為了防止他人瀏覽網(wǎng)頁(yè)時(shí)滑動(dòng)到最上方，看到真的URL欄。作者通過(guò)javascript中的onscroll來(lái)控制滾動(dòng)位置，讓瀏覽者永遠(yuǎn)無(wú)法滑到最上方，相關(guān)代碼如下：

后記

這是一個(gè)嚴(yán)重的安全漏洞嗎？我認(rèn)為是的。因?yàn)槲易鳛橐粋€(gè)安全人員都很難第一時(shí)間識(shí)破這個(gè)釣魚(yú)網(wǎng)站，所以我可以想象如果是完全不懂網(wǎng)絡(luò)知識(shí)的用戶，在面對(duì)這種網(wǎng)站時(shí)的戒心有多低！

如何防御這種攻擊呢？我認(rèn)為它是Chrome的問(wèn)題。因?yàn)檎荂hrome隱藏URL欄的邏輯讓我有了可乘之機(jī)，當(dāng)然我也完全理解谷歌想節(jié)約頁(yè)面空間的做法。目前為止，我覺(jué)得最好解決方法就是在Chrome隱藏URL欄時(shí)，做出提示，讓用戶意識(shí)到“URL欄當(dāng)前已隱藏”。

Jayden Lin也表示，類似的攻擊以前也發(fā)現(xiàn)過(guò)，當(dāng)時(shí)被稱為Picture-In-Picture Attacks，具體如下圖：

感謝你的閱讀！

本文由白帽匯整理并翻譯，不代表白帽匯任何觀點(diǎn)和立場(chǎng)：https://nosec.org/home/detail/2531.html 來(lái)源：https://jameshfisher.com/2019/04/27/the-inception-bar-a-new-phishing-method/https://medium.com/@jaydenlin/%E9%A7%AD%E5%AE%A2%E6%96%B0%E9%87%A3%E9%AD%9A%E6%89%8B%E6%B3%95-%E6%A8%A1%E7%B3%8A%E7%9A%84-line-of-death-%E7%B6%B2%E5%9D%80%E5%88%97%E4%B9%9F%E4%B8%8D%E5%8F%AF%E4%BF%A1%E4%BA%86%E5%97%8E-c3b45d3bbc32

總結(jié)

以上是生活随笔為你收集整理的The inception bar：一种新型网络钓鱼手段的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。