Anonim
Chrome提示

Chrome的移动版本中一个新发现的漏洞允许将真实地址栏替换为假地址栏。

正如9To5Google报道的那样,开发人员Jim Fisher分享了该新漏洞利用程序的详细信息,以此作为概念验证。 就像移动Chrome浏览器的用户会知道的那样,当您向下滚动手机上的网页时,浏览器的地址栏会消失,以提供更多的内容空间。 当您向上滚动时,它会重新出现。 但是,费舍尔设法欺骗浏览器,使其从不重新显示真实地址栏。

该漏洞利用是通过在真实地址栏消失后将页面内容放入“滚动监狱”中来实现的。 这样,当用户向上滚动页面时,他们只是向上滚动滚动监狱,而永远不会触发真实地址栏再次显示。 这样就可以显示伪造的商品,费舍尔将其称为“初始条”,并且用户将接受他们希望看到的真实商品。

有关

  • 100最佳免费的Google Chrome扩展程序100最佳免费的Google Chrome扩展程序
  • 如何在浏览器上控制和删除cookie如何在浏览器上控制和删除cookie
  • Chrome 74添加了黑暗模式和更强的隐身模式Chrome 74添加了黑暗模式和更强的隐身模式

费舍尔相信,通过更多的工作,恶意网站可以检测到正在使用哪个浏览器并显示适当的地址栏,而不仅仅是局限于Chrome。 还可以使伪造的地址栏具有交互性,这意味着可以将用户定向到其他恶意网站,而不管他们键入了哪些搜索字词或URL。

该漏洞利用的问题是,没有容易解决的方法。 费舍尔(Fisher)认为Google应该保留很少的屏幕空间,以折叠形式显示真实地址栏。 这样,用户可以发现一个伪造的地址栏,因为折叠的真实地址栏在屏幕顶部上方可见。