作者:xisigr@騰訊玄武實驗室
Browser UI ,是指瀏覽器用戶界面。瀏覽器經過幾十年的發展,對於用戶界面並沒有一個統一的規定標準,目前大多數現代瀏覽器的用戶界面包括:前進和後退按鈕、刷新和停止加載按鈕、地址欄、狀態欄、頁面顯示窗口、查看源代碼窗口、標籤等。另外可能還會有一些其他的用戶界面,例如下載管理、頁面查找、通知、系統選項管理、隱身窗口等等。我們可以把 Browser UI 認為是一個前端標籤式的頁面管理器或者 Web 的外殼,用戶不必去考慮瀏覽器應用程序底層是如何處理數據的,所有的網絡行為結果,均由 Browser UI 去展現給用戶。
從安全的角度來說,瀏覽器 UI 上最容易發生的攻擊就是用戶界面欺騙,也就是 UI Spoof。通常 UI Spoof 被用來進行網絡釣魚攻擊使用。網絡釣魚是社會工程學中用於欺騙用戶,進而獲取用戶的敏感信息的一種攻擊手段,通常使用偽造網站等方法,誘使用戶從視覺感官上相信其是合法真實的,當用戶在瀏覽器中進行操作后,敏感信息就有可能被攻擊者獲取到。
因此瀏覽器 UX 團隊在開發 UI 過程中,在便捷用戶瀏覽的同時,對 UI 安全模型上的設計、策略、邏輯也顯得非常重要,安全的 UI 能幫助用戶在上網時快速、準確的做出正確安全的決策。 而 UI 一旦出現了缺陷,攻擊者就可能偽造瀏覽器 UI 中的某些關鍵信息,進而對用戶實施網絡釣魚攻擊。
本技術白皮書中將給大家介紹什麼是 UI Spoof 漏洞,並對多個瀏覽器 UI 上的安全漏洞進行詳細分析。
Browser UI Security技術白皮書【PDF下載地址(10月17日更新)】
转载请注明:IAMCOOL » Browser UI Security技術白皮書