作者:xisigr@腾讯玄武实验室

Browser UI ,是指浏览器用户界面。浏览器经过几十年的发展,对于用户界面并没有一个统一的规定标准,目前大多数现代浏览器的用户界面包括:前进和后退按钮、刷新和停止加载按钮、地址栏、状态栏、页面显示窗口、查看源代码窗口、标签等。另外可能还会有一些其他的用户界面,例如下载管理、页面查找、通知、系统选项管理、隐身窗口等等。我们可以把 Browser UI 认为是一个前端标签式的页面管理器或者 Web 的外壳,用户不必去考虑浏览器应用程序底层是如何处理数据的,所有的网络行为结果,均由 Browser UI 去展现给用户。

从安全的角度来说,浏览器 UI 上最容易发生的攻击就是用户界面欺骗,也就是 UI Spoof。通常 UI Spoof 被用来进行网络钓鱼攻击使用。网络钓鱼是社会工程学中用于欺骗用户,进而获取用户的敏感信息的一种攻击手段,通常使用伪造网站等方法,诱使用户从视觉感官上相信其是合法真实的,当用户在浏览器中进行操作后,敏感信息就有可能被攻击者获取到。

因此浏览器 UX 团队在开发 UI 过程中,在便捷用户浏览的同时,对 UI 安全模型上的设计、策略、逻辑也显得非常重要,安全的 UI 能帮助用户在上网时快速、准确的做出正确安全的决策。 而 UI 一旦出现了缺陷,攻击者就可能伪造浏览器 UI 中的某些关键信息,进而对用户实施网络钓鱼攻击。

本技术白皮书中将给大家介绍什么是 UI Spoof 漏洞,并对多个浏览器 UI 上的安全漏洞进行详细分析。

Browser UI Security技术白皮书【PDF下载地址(10月17日更新)


Paper 本文由 Seebug Paper 发布,如需转载请注明来源。本文地址:https://paper.seebug.org/416/