前幾日，網(wǎng)絡(luò)上曝出小米薄荷瀏覽器存在URL欺騙漏洞，攻擊者可把惡意鏈接偽裝成權(quán)威網(wǎng)站的URL，對(duì)受害者進(jìn)行釣魚攻擊。小米公司在收到報(bào)告后迅速發(fā)布了安全補(bǔ)丁，修復(fù)了這一漏洞。但近期，又有人曝出該安全補(bǔ)丁不夠嚴(yán)謹(jǐn)，輕易就可繞過。

URl欺騙漏洞(CVE-2019-10875)

據(jù)外媒報(bào)道，小米薄荷瀏覽器為了提升用戶體驗(yàn)，在當(dāng)你打開某個(gè)網(wǎng)絡(luò)鏈接時(shí)，若鏈接類似于https://www.google.com/?q=www.domain.com時(shí)，則網(wǎng)址欄就只會(huì)顯示www.domain.com，也就是只顯示?q=后面的字段。因此，一旦攻擊者構(gòu)造https://www.evil.com/?q=www.google.com這類的鏈接進(jìn)行釣魚攻擊，受害者則只會(huì)在網(wǎng)址欄看到www.google.com，相信任何人都不會(huì)懷疑谷歌是釣魚網(wǎng)站。

當(dāng)攻擊者輸入https://www.andmp.com/?q=www.google.com時(shí)

跳轉(zhuǎn)成功后，可看到地址欄顯示www.google.com，但頁面其實(shí)是www.andmp.com的內(nèi)容

這種URl欺騙漏洞攻擊者利用起來毫無難度，僅僅只需要編造一個(gè)簡(jiǎn)單的惡意鏈接。最后小米給發(fā)現(xiàn)者獎(jiǎng)勵(lì)了198美元賞金(Mi瀏覽器和Mint國(guó)際版瀏覽器)。

修復(fù)繞過

而在近期，國(guó)外安全研究人員表示，經(jīng)過簡(jiǎn)單的的模糊測(cè)試，發(fā)現(xiàn)小米Mint瀏覽器的安全補(bǔ)丁存在嚴(yán)重的問題，只需要簡(jiǎn)單添加幾個(gè)字母，就可繞過。

修復(fù)前可生效的PoC：

http://phishing-site.com/?q=google.com

修復(fù)后可生效的PoC：

http://google.com.phishing-site.com/?q=google.com

只要在釣魚網(wǎng)址的前面貼上google.com，就又可以達(dá)到欺騙的效果。發(fā)現(xiàn)者表示，小米內(nèi)部的研發(fā)人員應(yīng)該只是通過簡(jiǎn)單的正則表達(dá)式對(duì)網(wǎng)址進(jìn)行安全檢查，但由于正則表達(dá)式不夠嚴(yán)謹(jǐn)，攻擊者可輕松繞過。

修復(fù)后以前的PoC已無欺騙作用：

但新的PoC的地址欄依然是google.com:

感謝你的閱讀！

本文由白帽匯整理并翻譯，不代表白帽匯任何觀點(diǎn)和立場(chǎng)

來源：https://nosec.org/home/detail/2463.html

原文：https://www.andmp.com/2019/04/bypassing-cve-2019-10875-or-xiaomis.html?m=1

白帽匯從事信息安全，專注于安全大數(shù)據(jù)、企業(yè)威脅情報(bào)。

公司產(chǎn)品：FOFA-網(wǎng)絡(luò)空間安全搜索引擎、FOEYE-網(wǎng)絡(luò)空間檢索系統(tǒng)、NOSEC-安全訊息平臺(tái)。

為您提供：網(wǎng)絡(luò)空間測(cè)繪、企業(yè)資產(chǎn)收集、企業(yè)威脅情報(bào)、應(yīng)急響應(yīng)服務(wù)。

總結(jié)

以上是生活随笔為你收集整理的浏览器安全检查己通过_小米薄荷浏览器URl欺骗漏洞（CVE-2019-10875）的安全修复被绕过...的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。