acm-header
登录

ACM通信

首页 / 新闻 / 看,一个密码钓鱼网站,甚至可以欺骗… /全文
ACM TechNews

看,一个密码钓鱼网站甚至可以欺骗精明的用户

由Ars Technica
2022年3月29日
评论
认为: 打印 手机应用程序 分享: 通过电子邮件发送 在reddit分享 在StumbleUpon分享 在黑客新闻上分享 在推特上分享 在Facebook上分享
分享

BitB技术非常简单和有效,令人惊讶的是它没有被更好地了解。

来源:盖蒂图片社

一位名为mr.d0x的研究人员开发了一种概念验证的“浏览器中的浏览器”(BitB)漏洞,可以使用一个不包含可疑域名或替代字母的恶意网站来钓鱼密码,这些都是钓鱼网站的迹象。

该技术在真正的浏览器窗口中使用一个假的浏览器窗口来欺骗OAuth页面。

许多网站使用OAuth协议,允许访问者使用现有的谷歌、Facebook、Apple或其他帐户登录。

BitB依靠一系列HTML和层叠样式表(CSS)技巧来欺骗第二个浏览器窗口,该窗口通常打开连接到网站,方便登录或支付。

欺骗的窗口看起来与真正的窗口相同,可以显示带有挂锁和HTTPS前缀的有效地址。

然而,BitB窗口不能调整大小,完全最大化,或移动到主窗口之外。

Ars Technica
查看全文

版权所有©2022SmithBucklin,美国华盛顿特区

没有发现记录

登录为完全访问
»忘记密码? »创建ACM Web帐号
Baidu
map