尽管防止网络欺诈已经成为网络安全问题的重矢之地,但是目前的大多数浏览器仍然存在这一安全漏洞。本周二,丹麦安全公司Secunia警告用户,当前流行的各种浏览器中都存在一个漏洞,这一漏洞可以被用javascript编写的恶意程序以弹出窗口的形式用来网络欺诈。
Secunia称,用javascript编写的程序可以利用这一漏洞弹出提示窗口,使用户误以为是来自受信网站弹出的窗口。为了能够更加有效的利用这一漏洞,当用户访问含有恶意程序的网站时,在弹出的窗口中,黑客或者网络犯罪分子很可能会引诱用户到一个可靠的网站,如网上银行。而后,恶意网站会在受信网站前弹出一个javascript窗口,没有经验的用户可能会在这个假的对话框中输入个人信息。
检测原理
Secunia公司将这一漏洞风险等级定为“较为危险”。根据Secunia的调查,这一安全漏洞涉及到IE浏览器、IE for Mac、Safari、iCab、Mozilla Firefox 以及 Camino,Opera 7 and 8也存在这一漏洞,但是Opera 8.01除外。
微软已经对Secunia的报告作出反映,开始着手调查。同时微软提醒用户不要轻易相信未包含地址栏或非锁定的经过认证的弹出窗口中的内容。
Mozilla Firefox开发人员早已经展开与网络欺诈的斗争。早在4月份,Mozilla 就已经发布了补丁,用来阻止来自非受信网站的Java和Flash弹出窗口。但是Mozilla并没有对Secunia的这一调查作出回应。
Opera公司本周三宣布他的最新浏览器版本Opera 8.01会显示出弹出窗口的源地址,这样用户可以查到弹出窗口的URL是否来自受信网站。
如果您想测试您的浏览器是否存能够抵制网络欺诈,请登陆Secunia公司网站的网络欺诈测试页面: http://secunia.com/multiple_browsers_dialog_origin_vulnerability_test/