Lažiranje adrese u adresnoj traci

Lažiranje adrese u adresnoj traci

Istraživači su otkrili ranjivost u internet pretraživačima Safari za OS X i iOS te Chrome za OS Android koji napadačima omogućavaju lažiranje web adrese u adresnoj traci pretraživača. Ova ranjivost se može iskoristiti za phishing napade. Ranjivost koja pogađa pretraživač Safari otkrila je kompanija za računarsku bezbjednost Deusen. Kako bi dokazali ranjivost kreirali su stranicu na domenu “deusen.co.uk”, a u adresnoj traci se prikazivala adresa “dailymail.co.uk”. Programski kod pomoću kojeg je iskorištena ranjivost sadrži funkciju setInterval() koja osvježava stranicu svakih 10 milisekundi te sprečava prikaz prave adrese. Istu ranjivost na pretraživači Chrome za OS Android otkrio je istraživač za računarsku bezbjednost Rafay Baloch. Korišćenjem neodgovarajućeg upravljanja greškom HTTP statusnog koda 204 i događaja window.open napadač može natjerati Chrome da nepravilno prikazuje html stranice. Ranjivost je potvrđena na Android verziji 5.0 te se savjetuje ažuriranje koje ispravlja ranjivost ili korišćenje drugog pretraživača ako vam još nije dostupno ažuriranje.

Izvor:www.securityweek.com

Leave a Reply