現(xiàn)在各種各樣的瀏覽器導(dǎo)出不窮，然而都是建立在IE內(nèi)核基礎(chǔ)上的，而且在安全方面，這些"擴(kuò)展"版本瀏覽器遠(yuǎn)比IE差了許多，很可能IE正常訪問的頁面，被這些第三方瀏覽器一訪問，就立刻被木馬感染中招。因此，被多攻擊者都會(huì)利用第三方瀏覽器的漏洞進(jìn)行跨站掛馬攻擊。

 "繼承"的危險(xiǎn)--第三方瀏覽器漏洞原因

很多人都不喜歡用IE瀏覽器，覺得IE瀏覽器不安全，功能也不夠強(qiáng)大。而可供選擇第三方瀏覽器非常多，比如Maxthon、世界之窗、Thooe等。這些瀏覽器提供了豐富的瀏覽功能，并且宣稱對(duì)增強(qiáng)了安全性，增強(qiáng)了隱私瀏覽之類的功能。

其實(shí)這些第三方瀏覽器，都是建立在IE內(nèi)核上的，在IE內(nèi)核的基礎(chǔ)上進(jìn)行開發(fā)的。但是由于在使用IE內(nèi)核接口進(jìn)行開發(fā)時(shí)，由于IE內(nèi)核本身存在著一些漏洞，因此這些瀏覽器也繼承了IE內(nèi)核的漏洞。到后期IE進(jìn)行內(nèi)核漏洞修補(bǔ)時(shí)，這些第三方瀏覽器使用的還是舊的IE內(nèi)核，因此一些在IE中被修復(fù)了的舊漏洞，卻在第三方瀏覽器中存在著，導(dǎo)致了第三方瀏覽器漏洞的產(chǎn)生！

由于"繼承"特性造成的漏洞非常多，可能會(huì)造成第三方瀏覽器的用戶被掛馬、釣魚欺騙等，這里先來看一個(gè)小漏洞。

在以前的IE中存在著一個(gè)"@"漏洞，常常被用來進(jìn)行網(wǎng)絡(luò)釣魚欺騙，不過現(xiàn)在IE已經(jīng)補(bǔ)上了這個(gè)漏洞，可是各種第三方瀏覽器中卻還存在著這個(gè)古老的漏洞。

首先，打開IE瀏覽器，輸入訪問如下的網(wǎng)址：

http://www.baidu.com@www.qq.com/

可以看到IE返回了錯(cuò)誤的信息（圖1），提示無法訪問"www.baidu.com@www.qq.com"這個(gè)域名，說明"@"符號(hào)是被當(dāng)作了域名中的一個(gè)字符。

圖1

再打開世界之窗瀏覽器（圖129）、Maxthon（圖130）等，同樣訪問上面的網(wǎng)址，可以看到返回了正常的QQ騰訊網(wǎng)頁頁面。不過這個(gè)頁面的域名鏈接地址是"@"之后的內(nèi)容，也就是說，"@"符號(hào)被當(dāng)成了一個(gè)分隔符，之前的百度域名字符被忽略了，僅保留了"@"后面的內(nèi)容。#p#

圖2  世界之窗@漏洞

圖3 Maxthon瀏覽器@漏洞#p#

魚是這樣釣的--第三方瀏覽器掛馬

從上面的測(cè)試可以看到，在IE瀏覽器中，"@"釣魚漏洞不存在了，但是第三方瀏覽器的流行，讓這個(gè)老漏洞又有了利用的價(jià)值。攻擊者可制作一個(gè)網(wǎng)頁木馬，詐騙用戶訪問打開此鏈接，從而導(dǎo)致遭受網(wǎng)頁木馬攻擊。攻擊者在一個(gè)論壇中發(fā)布一張欺騙性的帖子，假如帖子的主題為"注冊(cè)網(wǎng)上銀行中大獎(jiǎng)啦！"，在帖子內(nèi)容中輸入一些欺騙誘惑性的內(nèi)容，并留下網(wǎng)絡(luò)銀行的鏈接地址，誘騙用戶登錄自己偽造的虛假網(wǎng)站上。其中最重要的一個(gè)環(huán)節(jié)就是構(gòu)造虛擬的鏈接地址，讓用戶以為自己登錄的是正確的網(wǎng)站，一般來說，攻擊者可將撰寫模式切換為HTML，在帖子中加入如下的代碼：

點(diǎn)擊<a href="https://mybank.icbc.com.cn/icbc/perbank/regtip.jsp           @www.sina.com.cn/">http://www.icbc.com.cn/</a> ，即可登錄注冊(cè)開通網(wǎng)上銀行中1萬元大獎(jiǎng)！

注意，這里在"@"前加入了空格及一個(gè)真的工行鏈接，以便在狀態(tài)欄中顯示鏈接時(shí)，隱藏"@"符號(hào)及后面的假工行鏈接。

當(dāng)帖子發(fā)布以后，在網(wǎng)頁中顯示的將是"http://www.icbc.com.cn"鏈接地址，即使將鼠標(biāo)移動(dòng)到連接上在狀態(tài)欄上看起來依然連接到"http://www.icbc.com.cn"的網(wǎng)站上（圖4），但是當(dāng)用戶點(diǎn)擊鏈接后，會(huì)連接到在網(wǎng)頁中顯示的是"中國(guó)工商銀行網(wǎng)上銀行"，但是當(dāng)用戶點(diǎn)擊該鏈接時(shí)，卻連接到了偽造的網(wǎng)站上。如果攻擊者將新浪的網(wǎng)址換成網(wǎng)頁木馬鏈接地址，那么用戶就很有可能上當(dāng)受騙。

圖4 @漏洞傳播網(wǎng)馬

另外，在一些第三方瀏覽器其它更為嚴(yán)重的跨域欺騙漏洞、XSS跨站腳本漏洞等，由于利用的方法比較復(fù)雜，因此這里就不多作講解了。

【編輯推薦】

1. 對(duì)搜狐、網(wǎng)易和TOM三大門戶網(wǎng)站的SQL注入漏洞檢測(cè)
2. Adobe警告嚴(yán)重Shockwave Flash Player零日漏洞
3. VeriSign數(shù)字證書GeoTrust和RapidSSL現(xiàn)嚴(yán)重漏洞
4. 用社工對(duì)抗社工——RSA身份認(rèn)證總監(jiān)Uri Rivner談釣魚