• 🔥 Бесплатный курс от Академии Кодебай: «Анализ защищенности веб-приложений»

    🛡 Научитесь находить и использовать уязвимости веб-приложений.
    🧠 Изучите SQLi, XSS, CSRF, IDOR и другие типовые атаки на практике.
    🧪 Погрузитесь в реальные лаборатории и взломайте свой первый сайт!
    🚀 Подходит новичкам — никаких сложных предварительных знаний не требуется.

    Доступ открыт прямо сейчас Записаться бесплатно

Новая уязвимость в Chrome

Для полноты картины хотелось бы узнать уязвим ли ваш браузер к подобному виду атаки?


  • Всего проголосовало
    4

taksitaksilno

Green Team
21.02.2019
62
9
Привет, Codeby.

Сегодня хочу поговорить на тему нового метода фишинга в Google Chrome мобильной версии. Баг временный и наблюдается в версиях ниже 74.0.3729.136.

Обычно, когда мы скроллим веб-страницу Chrome скрывает url-строку и передает пространство экрана, отведенное для строки, веб-странице.

Посколько юзвер доверяет этой части страницы, то атакующий может подменить original url на inception bar.
Все бы ничего, если мы скролим вверх браузер возвращает строку, но мы можем заставить его не делать этого, создав элемент overflow:scroll, поместив весь контент в " scroll-jail".

User думает, что он скроллит страницу, но по факту - scroll-jail. Он попадает в браузер внутри браузера. Есть сайт: jameshfisher.com где это реализовано.

Что нужно для создания фишинга?

Заскринить нужный url и вставить его в нашу страницу.

Самое интересное,что можно быть пойманым в такую ловушку и сидеть на сайте, пока благополучно выполняется какой-то вредоносный код.
 

Вложения

  • ezgif.com-video-to-gif.gif
    ezgif.com-video-to-gif.gif
    6,2 МБ · Просмотры: 418
Мы в соцсетях:

Взломай свой первый сервер и прокачай скилл — Начни игру на HackerLab

Курс AD