33.png

歡迎來到世界第七大銀行匯豐銀行的官網(wǎng)hsbc.com！好吧，相信大家都立馬反應過來，匯豐銀行的首頁是不可能會放上我的照片。所以上面圖片中的網(wǎng)站并不是hsbc.com，而是我自己的網(wǎng)站jameshfisher.com。但是，當你用Chrome移動版瀏覽器上下滑動瀏覽這個“匯豐”網(wǎng)站時，會發(fā)現(xiàn)除了頁面內(nèi)容不合理，其余都很像hsbc.com，特別是那個地址欄，時刻提示這就是hsbc.com。在這篇文章中，我將介紹這種釣魚網(wǎng)站是如何產(chǎn)生的以及針對這類釣魚網(wǎng)站的防御措施（這些改進措施我相信對Chrome來說并不是難事）。

44.png

介紹

在移動版Chrome瀏覽器中，當用戶向下滾動時，瀏覽器會自動隱藏URL欄，將URL欄的屏幕空間交還給網(wǎng)頁。而對于大多數(shù)用戶來說，“URL欄”這個位置可以說是信任度最高的瀏覽器部位，如果要判斷你正訪問網(wǎng)站的網(wǎng)址是什么，大多數(shù)人都會第一時間看向它。自然而然，這個瀏覽器部位也成了釣魚頁面制造者的攻擊重點，而我正好發(fā)現(xiàn)了一種偽造“URL欄”的方法，那就是利用inception bar！

大家都知道，當用戶在Chrome瀏覽器中向上滾動時，Chrome會重新顯示真正的URL欄。但是，我們可以欺騙Chrome，讓它永遠不會顯示真正的URL欄！一旦Chrome隱藏了URL欄，我們就會將整個頁面內(nèi)容移動到“scroll jail”（滾動監(jiān)獄）中——這里我利用到一個新知識overflow:scroll。當用戶用手指上下滑動時，會誤以為認為他們是在當前頁面中向上滾動，但事實上他們只是我設置的滾動監(jiān)獄中滑動！就像是困在夢境中一樣，用戶認為他們在瀏覽器中，但實際上是在瀏覽器中的瀏覽器中。

演示視頻：https://d33wubrfki0l68.cloudfront.net/783bd862c3df19b6fb4eac0b4f687d598c957891/a3915/assets/2019-04-27/demo.webm

55.png

66.png

從以上視頻中，大家應該發(fā)現(xiàn)我們還有一個問題沒解決，一旦用戶滾動到“監(jiān)獄”的頂部，Chrome就會重新顯示URL欄。為了解決這個問題，我可以“滾動監(jiān)獄”的頂部插入一個非常高的填充元素。如果用戶嘗試滾動到所填充的元素，就自動向下滾動到釣魚頁面的開頭！這整套操作看起來很像頁面刷新。

釣魚網(wǎng)站細節(jié)

以下是Jayden Lin針對這種釣魚網(wǎng)站的解析。

在作者給出的演示網(wǎng)站（https://jameshfisher.com/2019/04/27/the-inception-bar-a-new-phishing-method/）中，可從源碼看到：

77.png

假URL欄使用了id為fakeurlbar的div標簽，并將CSS設定為position: fixed，將其固定在最上方。

其次，作者還在body中制作了一個div標簽，將其設定為overflow: scroll，并往里面放一個高為1000px的填充元素。當他人瀏覽網(wǎng)頁時，其實只是在這個div里面滾動，而不是在全局body里滾動。

88.png

最后，為了防止他人瀏覽網(wǎng)頁時滑動到最上方，看到真的URL欄。作者通過javascript中的onscroll來控制滾動位置，讓瀏覽者永遠無法滑到最上方，相關(guān)代碼如下：

99.png

后記

這是一個嚴重的安全漏洞嗎？我認為是的。因為我作為一個安全人員都很難第一時間識破這個釣魚網(wǎng)站，所以我可以想象如果是完全不懂網(wǎng)絡知識的用戶，在面對這種網(wǎng)站時的戒心有多低！

如何防御這種攻擊呢？我認為它是Chrome的問題。因為正是Chrome隱藏URL欄的邏輯讓我有了可乘之機，當然我也完全理解谷歌想節(jié)約頁面空間的做法。目前為止，我覺得最好解決方法就是在Chrome隱藏URL欄時，做出提示，讓用戶意識到“URL欄當前已隱藏”。

Jayden Lin也表示，類似的攻擊以前也發(fā)現(xiàn)過，當時被稱為Picture-In-Picture Attacks，具體如下圖：

100.png

感謝你的閱讀！

本文由白帽匯整理并翻譯，不代表白帽匯任何觀點和立場：https://nosec.org/home/detail/2531.html
來源：https://jameshfisher.com/2019/04/27/the-inception-bar-a-new-phishing-method/
     https://medium.com/@jaydenlin/%E9%A7%AD%E5%AE%A2%E6%96%B0%E9%87%A3%E9%AD%9A%E6%89%8B%E6%B3%95-%E6%A8%A1%E7%B3%8A%E7%9A%84-line-of-death-%E7%B6%B2%E5%9D%80%E5%88%97%E4%B9%9F%E4%B8%8D%E5%8F%AF%E4%BF%A1%E4%BA%86%E5%97%8E-c3b45d3bbc32