最近幾個不同的Web瀏覽器出現地址欄欺騙漏洞。這些漏洞背后的問題是什么?

[[157657]]

JavaScript函數setInterval是HTML DOM窗口對象的一種方法，能連續執行指定代碼。Deusen研究人員發現，通過使用setInterval函數每10秒重新加載網頁，攻擊者能夠讓地址欄顯示真正有請求的站點的URL而瀏覽器上顯示的則是攻擊惡意網頁的內容。在某些情況下，比如iPad上的Safari，能夠作為一次釣魚攻擊的一部分。JavaScript代碼執行攻擊是非常簡單的，他不斷地重新加載攻擊者的頁面。這導致用戶查看攻擊者的頁面，然而地址欄上仍舊顯示用戶需求的頁面URL。這就是當用戶以為他們訪問一個合法網站時，實際上看到的是一個被攻擊者控制的網站。

顯而易見，setInterval方法遭誤用時，網頁以百分之一秒快速重載，這導致大多數設備鎖定或是網頁變得不可用。同時，地址欄會一直閃爍。一種更活躍的地址欄欺騙漏洞存在于Android瀏覽器中。當結合window.open時，該瀏覽器無法處理204無內容響應。204無內容意味著服務器成功處理了請求，但卻不返回任何內容。Android安全團隊已經發布了補丁，但這取決于電信運營商是否分發了下去。

Web瀏覽器的地址欄是用戶查看其是否在所需網站上的一個關鍵指標。如果攻擊者能夠控制它顯示的內容，則釣魚攻擊更有可能成功實施。作為一個網站管理員，當用戶瀏覽器上有漏洞時，沒有什么太好的法子阻止黑客利用地址欄欺騙漏洞來盜竊用戶的敏感數據。這些漏洞很可能構成重大的威脅，不過這也提醒了人們應該使用最新的瀏覽器軟件，并定期參加安全意識會話學習篡改地址欄的釣魚技術。

為了防止員工上這類漏洞欺騙的當，企業應當為他們安排安全培訓，加強對這類攻擊的認識，不亂點擊不明來源的鏈接。