本文作者：雷鋒網(wǎng)宅客頻道專欄作者，李勤

瀏覽器的地址欄，是通往神秘賽博世界的一道門。

打開門，也許是你早已心儀已久的一家購物網(wǎng)站，也可能是一些你無法預料的場景：

• 或是閃著紅色小燈的發(fā)廊線上版

• 或是各色骰子在飛舞旋轉，向你招手

• 或是一個簡單的拒絕：404

你恍若闖入了一個神奇的大觀園，不知道接下來的是一個人，還是一條狗，或者兩者都是。

這絕不是一次你想要的驚險刺激的冒險，你以為這是小朋友突然翻了一次墻么？

賽博世界，我想要知道我在哪，我去哪。

騰訊玄武實驗室技術專家徐少培說：“Google曾公開表示在現(xiàn)代瀏覽器中，地址欄是唯一可靠的指示器。”

這句話應該如何理解？通俗的來說就是，如果地址欄上出現(xiàn)了安全問題，后續(xù)所訪問的Web頁面，可信任的體系將全部崩塌。

雷鋒網(wǎng)決定，先上個數(shù)據(jù)震撼一下你。

上周，Chrome 發(fā)布了最新的版本，在安全漏洞當中，其中有16個漏洞由外部人員提交。在這16個漏洞當中，中高危漏洞占了12個，獲得了谷歌的漏洞獎勵。在這 12 個漏洞當中，有 3 個漏洞是地址欄上的漏洞，也就是說，Chrome瀏覽器作為目前業(yè)界公認的最安全的瀏覽器，其中地址欄上的安全漏洞占比四分之一。

對瀏覽器廠商而言，不僅要消除軟件中的緩沖區(qū)溢出，最大的安全挑戰(zhàn)之一是如何幫助用戶在上網(wǎng)時做出正確和安全的決策。

因此，瀏覽器廠商絞盡腦汁。

第一個指示燈：安全指示符

很久以前，瀏覽器廠商搞出了一個安全指示符，就像是一枚路標，告訴你前方是一片坦途還是沼澤叢林。

安全指示符琳瑯滿目。你可能在地址欄看到的是一把綠色的小鎖，也可能是把灰色的大鎖，或是一個“地球”。

HTTP 和 HTTPS 又不同，一邊是白色符號，而另外一邊可能是綠色符號。不同的符號究竟代表什么？這些符號背后有何深意？

2015年，谷歌曾就此采訪過1329人，尷尬的是，大部分人對于HTTPS這個指示符略有了解，看到有一個鎖，就知道可能是加密或者是安全的問題。對于HTTP這個標識符，一些專家可能都不太明白是什么意思。

看到這里你應該高興，看，你又比專家多懂了一點點。

當你點開這些各種各樣的小符號，其實又打開了一片新天地：

內有更多對當前頁面權限的設置，以及這個網(wǎng)站是否安全等選項。

第二個指示燈：URL

我們已經(jīng)了解到在地址欄中安全指示符如何來標識當前網(wǎng)站的安全狀態(tài)，它是一枚路標，而統(tǒng)一資源定位符（URL）才是地址欄中的真正主角，它告訴你在哪和你要去哪，相當于一張有定位的地圖。

基本URL包含模式（或稱協(xié)議）、服務器名稱（或IP地址）、路徑和文件名，如“協(xié)議://授權/路徑?查詢”。完整的、帶有授權部分的普通統(tǒng)一資源標志符語法如下：協(xié)議://用戶名:密碼@子域名.域名.頂級域名:端口號/目錄/文件名.文件后綴?參數(shù)=值#標志。

所謂協(xié)議，是有很多的：

http——超文本傳輸協(xié)議資源

https——用安全套接字層傳送的超文本傳輸協(xié)議

ftp——文件傳輸協(xié)議

mailto——電子郵件地址

ldap——輕型目錄訪問協(xié)議搜索

file——當?shù)仉娔X或網(wǎng)上分享的文件

news——Usenet新聞組

gopher——Gopher協(xié)議

telnet——Telnet協(xié)議

那么，這個URL 有哪些層面可以被黑客改造，導致你去了一個意想不到的地方？也許，我們可以反推一下，不至于著了道。

作為一個連續(xù)三次挖掘了chrome 瀏覽器地址欄漏洞的老司機，徐少培對攻擊者可能偽造URL 的手段了如指掌：

1.這些協(xié)議在瀏覽器處理的時候都有可能出現(xiàn)問題。

2.多級域名時，瀏覽器地址可視空間很小，有可能把主機覆蓋掉，而顯示前面?zhèn)窝b的多級域名主機。

3.對于端口，目前默認的端口是空，或者是無符號16位。如果超過65535，比如說是10000的瀏覽器端口，如果是非數(shù)字ABCD端口會怎么處理呢？

4.Pathname，就是后面的目錄，有可能會偽造成主機。

5.#號后，瀏覽器格式在字符串時可能會出現(xiàn)問題，

6.用戶名和密碼部分有可能會偽造成主機。

在了解完URL的各個參數(shù)后，徐少培給出了URL Spoof漏洞的詳細的定義和說明。地址欄欺騙漏洞，偽造了Web最基本的安全邊界，起源(orgin)。

“URL中的任何一個部分，都有可能成為觸發(fā)地址欄欺騙（URL Spoof）漏洞的攻擊向量?！?/p>

徐少培說。

比如，上述URL由一個四級域名構成，Pathname的路徑偽造成了一個類域名的字符串。

在正確的地址欄中顯示，不管 URL 有多長，地址欄可視空間有多少，都要把正確的源顯示出來，這個 URL 中正確的源是evil.com。在前5個顯示中，不管怎么變化，都顯示了正確的源。

如果地址欄的顯示邏輯是，只顯示URL最左邊或最右邊，那么就會出現(xiàn)圖中最后所示的這種地址欄欺騙情況。

第一個是顯示了URL的最左邊，只顯示了多級域名的一部分；第二個的策略是，只顯示了URL的最右邊，顯示的是URL的pathname部分。

這兩種顯示方式，都沒有把真正的源顯示出來evil.com，用戶會認為當前訪問的網(wǎng)站是的是login.your-bank.com。

老司機的三次連勝：Chrome 地址欄之困

事不過三，但是連續(xù) 2016年6月、8月、10月 三個最新版本的 Chrome 地址欄漏洞被徐少培找到，Chrome 不僅要面帶笑容，還要給獎勵。

就喜歡看到“看不慣我又干不掉我”的情節(jié)。

第一個漏洞：3000美元獎金

從獎金規(guī)格可以看出，這是一個比較“完美”的漏洞，所謂的完美就是，哎喲，兩個悟空一模一樣，根本分不出來誰是誰。

“漏洞呈現(xiàn)的最后攻擊效果就是這樣的，當用戶點擊了一個鏈接，到達了Gmail，但是這個 Gmail 的URL是由攻擊者偽裝的，頁面也是由攻擊者偽裝的。

當你登錄 Gmail ，輸入用戶名和密碼時，你的信息就被攻擊者獲取到了?！?/p>

徐少培說。

輕而易舉，不帶一絲一毫的防備。

這個漏洞的原理如何實現(xiàn)？

當用戶點擊按鈕時，打開了一個窗口頁面，然后寫下”key payload”，把這段關鍵代碼單獨拿出來，如圖中用灰色來標識的關鍵代碼。

這個代碼在當前頁面又打開了一個窗口，導航到一個地址，圖中黃色標識的 URL 就是導航地址。但是，大家可以看到這是一個畸形的URL，最后有兩個冒號，瀏覽器默認是無法去解析的，于是漏洞就觸發(fā)了。

黃色的畸形URL有什么威力？使瀏覽器發(fā)生了什么？

瀏覽器的導航機制是這樣的:先判斷是否允許跳轉到一個頁面，在這個漏洞中Chrome判斷這個畸形的URL(https://gmail.com::)時，允許加載它。

這是錯誤的開始，加載了一個無效地址，并未對無效地址做任何處理。

于是瀏覽器開始加載這個畸形URL，因加載的是一個無效的地址，于是地址欄處于一個掛起的狀態(tài)(pendingentry)。

當內容開始返回時，調用‘a(chǎn)bout:blank’，但此時chrome還處于一個掛起狀態(tài) (‘https://gmail.com::’) ，并且把‘https://gmail.com::’ 作為了最終的提交地址。

頁面加載完成。最后停留在了偽造的頁面中。而且，兩個冒號會被完全隱藏掉。一個完美的地址欄欺騙漏洞就這樣產(chǎn)生了。

這就是犯罪后還順便清理了犯罪現(xiàn)場，造成什么都沒發(fā)生的假象！

第二個漏洞：谷歌忽視了邊緣協(xié)議

“在這個漏洞發(fā)現(xiàn)后兩個月，我又連續(xù)尋找新的漏洞。在被我找到漏洞的53版本修復成54版本上，我在fuzzingURL協(xié)議時發(fā)現(xiàn)，針對不同的協(xié)議，瀏覽器地址欄有不同的處理方式。”

徐少培說。

這一切發(fā)生在BLOB (binary large object)協(xié)議上,是一個可以存儲二進制文件的容器?！癰lob URLs”方案允許從Web應用程序中安全的訪問二進制數(shù)據(jù)，也就是從“內存”中對Blob的引用。一個“blob URLs”包括主機源和一個由UUID表示的路徑。

按照安全同源策略，你不可能直接打開一個你不能控制域的 blob 的URL，通過這個頁面，從視覺感官上我們成功打開了谷歌域的blob的URL，但這其實是偽造的。

如何做到的？

當你點擊這個按鈕之后，其實首先打開了一個攻擊者可控制域的 Blob 的URL，就是圖片中黃色關鍵核心代碼。

500毫秒后，在這個頁面上寫入偽造內容。黃色的關鍵代碼中，@后面的域才是攻擊者的域，就是可以控制的，而前面那些都是偽造的。

首先，偽造了一個谷歌域名字符串，之后加上大量的空白字符。瀏覽器遇到這樣的URL。Chrome會怎么處理？

Chrome其實犯了一個非常嚴重的邏輯錯誤，一直對主流協(xié)議如HTTPS、HTTP做了很多安全上限制，反而可能對邊緣化的協(xié)議沒有太注意。

其實，這個漏洞渲染了用戶名和密碼的部分，就是@符號前面的部分，邏輯上不應該去渲染。瀏覽器底層可以去解析這部分內容，但是在 前端UI上應該顯示出來。

因為一個URL的用戶名和密碼一旦被渲染，極有可能被用戶認為是這個URL的主機。

比如，列舉的這個鏈接，如果直接全被渲染，@前面的字符串就有可能被認為是URL的主機，也就是偽造了這個域名。

在主機前面加入了偽造字符串后，又加入了大量的空白符號，在現(xiàn)代瀏覽器中已經(jīng)不允許這么做了，大量的空白符被解析會把真正的主機覆蓋。

第三個漏洞：反常規(guī)點擊，用另一只手吃飯試試？

人們在導航到一個新的網(wǎng)站時，可能都用左鍵去點擊。但你有沒有想過，比如點擊右鍵，再點擊從新窗口打開這種方式？

真是出其不意的鬼畜！

最后，欺騙的效果就是偽造了谷歌的域，頁面內容同樣可以被改寫，這個漏洞因為觸發(fā)起來可能需要用戶的一個小交互（右鍵點擊），所以當時只給了500美元的獎勵。

徐少培解釋完最后一個漏洞，說起500美元，一副輕描淡寫的樣子。

剩下三次被“擊中”的谷歌chrome哭暈在廁所。

大神的挖洞秘籍

一本武林秘籍中，前面的幾招幾式可以模仿并不讓人驚奇。最重要的是，如何領悟武學大師的最高奧義。

徐少培通過之前發(fā)現(xiàn)的幾十個地址欄上的漏洞，提出了“地址欄之困”也是挖掘URL Spoof漏洞的核心奧義。

你在哪？你要去哪？瀏覽器地址欄其實是個矛盾體，在兩個相互競爭的角色中掙扎。

在左右手互博之中，只有唯一的一條出路。

理解了這一層奧義，才能熟稔萬千招式，我自巋然不動。

徐少培站在山頂，微笑不語。

雷鋒網(wǎng)注：本文部分資料來源于騰訊玄武實驗室徐少培在中國網(wǎng)絡安全大會(NSC2017)“大師講堂”上的演講，本屆中國網(wǎng)絡安全大會由賽可達實驗室、國家計算機病毒應急處理中心、國家網(wǎng)絡與信息系統(tǒng)安全產(chǎn)品質量監(jiān)督檢驗中心、首都創(chuàng)新大聯(lián)盟共同舉辦。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權禁止轉載。詳情見轉載須知。