10个地址栏欺骗漏DDoS防御洞阻碍7个扫瞄器-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!
QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防护 > 10个地址栏欺骗漏DDoS防御洞阻碍7个扫瞄器

10个地址栏欺骗漏DDoS防御洞阻碍7个扫瞄器

小墨安全管家 2020-10-21 12:44 CC防护 89 ℃
DDoS防御

图 9: Opera Mini扫瞄器安卓版中的地址欺骗漏洞

下面的PoC 证明了UC 扫瞄器安卓版和opera touch iOS 版本的基于扫瞄器的欺骗漏洞:

图 7: Opera touch 扫瞄器中的地址欺骗漏洞

下面的PoC 证明UC 扫瞄器安卓版、Opera扫瞄器安卓版、RITS扫瞄器安卓版、以及Bolt扫瞄器 iOS 版中的地址欺骗漏洞:

10个地址栏欺骗漏DDoS谨防洞妨碍7个浏览器

地址栏欺骗漏洞是web扫瞄器中的安全漏洞,恶意网站能够修改其真实的URL并展示一具虚假的网站而不是原来的合法网址。

漏洞1 PoC

漏洞2 PoC

10个地址栏欺骗漏洞阻碍7个扫瞄器

 技术细节

下面的PoC 证明了yandex 扫瞄器安卓版和opera touch iOS版本中的基于扫瞄器的欺骗漏洞:

10个地址栏欺骗漏DDoS谨防洞妨碍7个浏览器

图 8: UC 扫瞄器安卓版中的地址欺骗漏洞

10个地址栏欺骗漏DDoS谨防洞妨碍7个浏览器

图 3: Yandex扫瞄器安卓版中的地址欺骗漏洞

10个地址栏欺骗漏DDoS谨防洞妨碍7个浏览器

10个地址栏欺骗漏DDoS谨防洞妨碍7个浏览器

图 5: UC 扫瞄器安卓版的地址欺骗漏洞

Spoof 13

10个地址栏欺骗漏洞阻碍7个扫瞄器

图 11: Bolt扫瞄器IOS版中的地址欺骗漏洞

下面的PoC 证明了Opera扫瞄器iOS 版本中的基于扫瞄器的欺骗漏洞。数据方案后的任意URL 会导致URL的保持并触发地址栏欺骗条件。

图 1: MAC OS HIGH SIERRA 10.13.6 (17G14019)中的地址栏欺骗

10个地址栏欺骗漏DDoS谨防洞妨碍7个浏览器

漏洞5 PoC

10个地址栏欺骗漏洞阻碍7个扫瞄器

本文翻译自:https://www.rafaybaloch.com/2020/10/multiple-address-bar-spoofing-vulnerabilities.html https://blog.rapid7.com/2020/10/20/vulntober-multiple-mobile-browser-address-bar-spoofing-vulnerabilities/如若转载,请注明原文地址。

漏洞4 PoC

近日,网络安全公司Rapid7与巴基斯坦安全研究人员Rafay Baloch在7个挪移客户端扫瞄器app中发觉了10个新的地址栏欺骗漏洞,这7个扫瞄器APP分为是Apple Safari、Opera Touch、Opera Mini、Bolt、RITS、UC Browser和Yandex。

图 10: RITS扫瞄器安卓版中的地址欺骗漏洞

图 2: Safari Version 13.1.2 (13609.3.5.1.5) 中的地址栏欺骗

漏洞3 PoC

图 4: opera touch iOS版本中的地址欺骗漏洞

图 6: Opera Touch iOS版的地址欺骗漏洞

注:setInterval 函数的值大概会依照扫瞄器调整以实现有效的URL 欺骗。


DDoS防御

当前位置:主页 > CC防护 > 10个地址栏欺骗漏DDoS防御洞阻碍7个扫瞄器

猜你喜欢

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119