歡迎來到世界第七大銀行匯豐銀行的官網hsbc.com！好吧，相信大家都立馬反應過來，匯豐銀行的首頁是不可能會放上我的照片。所以上面圖片中的網站并不是hsbc.com，而是我自己的網站jameshfisher.com。但是，當你用Chrome移動版瀏覽器上下滑動瀏覽這個“匯豐”網站時，會發現除了頁面內容不合理，其余都很像hsbc.com，特別是那個地址欄，時刻提示這就是hsbc.com。在這篇文章中，我將介紹這種釣魚網站是如何產生的以及針對這類釣魚網站的防御措施（這些改進措施我相信對Chrome來說并不是難事）。

介紹

在移動版Chrome瀏覽器中，當用戶向下滾動時，瀏覽器會自動隱藏URL欄，將URL欄的屏幕空間交還給網頁。而對于大多數用戶來說，“URL欄”這個位置可以說是信任度最高的瀏覽器部位，如果要判斷你正訪問網站的網址是什么，大多數人都會第一時間看向它。自然而然，這個瀏覽器部位也成了釣魚頁面制造者的攻擊重點，而我正好發現了一種偽造“URL欄”的方法，那就是利用inception bar！

大家都知道，當用戶在Chrome瀏覽器中向上滾動時，Chrome會重新顯示真正的URL欄。但是，我們可以欺騙Chrome，讓它永遠不會顯示真正的URL欄！一旦Chrome隱藏了URL欄，我們就會將整個頁面內容移動到“scroll jail”（滾動監獄）中——這里我利用到一個新知識overflow:scroll。當用戶用手指上下滑動時，會誤以為認為他們是在當前頁面中向上滾動，但事實上他們只是我設置的滾動監獄中滑動！就像是困在夢境中一樣，用戶認為他們在瀏覽器中，但實際上是在瀏覽器中的瀏覽器中。

演示視頻：https://d33wubrfki0l68.cloudfront.net/783bd862c3df19b6fb4eac0b4f687d598c957891/a3915/assets/2019-04-27/demo.webm

從以上視頻中，大家應該發現我們還有一個問題沒解決，一旦用戶滾動到“監獄”的頂部，Chrome就會重新顯示URL欄。為了解決這個問題，我可以“滾動監獄”的頂部插入一個非常高的填充元素。如果用戶嘗試滾動到所填充的元素，就自動向下滾動到釣魚頁面的開頭！這整套操作看起來很像頁面刷新。

釣魚網站細節

以下是Jayden Lin針對這種釣魚網站的解析。

在作者給出的演示網站（https://jameshfisher.com/2019/04/27/the-inception-bar-a-new-phishing-method/）中，可從源碼看到：

假URL欄使用了id為fakeurlbar的div標簽，并將CSS設定為position: fixed，將其固定在最上方。

其次，作者還在body中制作了一個div標簽，將其設定為overflow: scroll，并往里面放一個高為1000px的填充元素。當他人瀏覽網頁時，其實只是在這個div里面滾動，而不是在全局body里滾動。

最后，為了防止他人瀏覽網頁時滑動到最上方，看到真的URL欄。作者通過javascript中的onscroll來控制滾動位置，讓瀏覽者永遠無法滑到最上方，相關代碼如下：

后記

這是一個嚴重的安全漏洞嗎？我認為是的。因為我作為一個安全人員都很難第一時間識破這個釣魚網站，所以我可以想象如果是完全不懂網絡知識的用戶，在面對這種網站時的戒心有多低！

如何防御這種攻擊呢？我認為它是Chrome的問題。因為正是Chrome隱藏URL欄的邏輯讓我有了可乘之機，當然我也完全理解谷歌想節約頁面空間的做法。目前為止，我覺得最好解決方法就是在Chrome隱藏URL欄時，做出提示，讓用戶意識到“URL欄當前已隱藏”。

Jayden Lin也表示，類似的攻擊以前也發現過，當時被稱為Picture-In-Picture Attacks，具體如下圖：

感謝你的閱讀！

本文由白帽匯整理并翻譯，不代表白帽匯任何觀點和立場：https://nosec.org/home/detail/2531.html 來源：https://jameshfisher.com/2019/04/27/the-inception-bar-a-new-phishing-method/https://medium.com/@jaydenlin/%E9%A7%AD%E5%AE%A2%E6%96%B0%E9%87%A3%E9%AD%9A%E6%89%8B%E6%B3%95-%E6%A8%A1%E7%B3%8A%E7%9A%84-line-of-death-%E7%B6%B2%E5%9D%80%E5%88%97%E4%B9%9F%E4%B8%8D%E5%8F%AF%E4%BF%A1%E4%BA%86%E5%97%8E-c3b45d3bbc32

總結

以上是生活随笔為你收集整理的The inception bar：一种新型网络钓鱼手段的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。