苹果Safari浏览器曝出一个可被攻击者用作钓鱼攻击的新漏洞——当用户以为打开某个网站时，其实在访问另一个网址。例如，当用户在浏览deusen.co.uk网站内容时，浏览器地址栏中显示的却是dailymail.co.uk地址。

苹果Safari浏览器曝出一个可被攻击者用作钓鱼攻击的新漏洞——当用户以为打开某个网站时，其实在访问另一个网址。例如，当用户在浏览deusen.co.uk网站内容时，浏览器地址栏中显示的却是dailymail.co.uk地址。

漏洞利用

研究团队Deusen演示了这个网址欺诈漏洞会如何被黑客用来欺骗用户，让用户以为他们访问的是正规的网站。尽管研究人员提供的POC不是很完美，但也足以修复这一问题。

iPad air 2中的Safari浏览器：

iPad air 2 Google chrome浏览器：

原理分析

通过快速分析Deusen团队的演示页面，我们发现，演示页面似乎强制Safari用户访问每日邮报的URL，你可以在浏览器UI这里看出来。这段脚本会在页面加载完毕之前加载另外一个URL。

脚本如下：

<script>

function f()

{ location="dailymail.co.uk/home/index.htm…"+Math.random(); }

setInterval("f()",10);

</script>

在浏览器找到真正的网页之前，利用setInterval()函数网页会每10毫秒重新加载一次，直至找到真正的网页。