现在各种各样的浏览器导出不穷，然而都是建立在IE内核基础上的，而且在安全方面，这些"扩展"版本浏览器远比IE差了许多，很可能IE正常访问的页面，被这些第三方浏览器一访问，就立刻被木马感染中招。因此，被多攻击者都会利用第三方浏览器的漏洞进行跨站挂马攻击。

 "继承"的危险--第三方浏览器漏洞原因

很多人都不喜欢用IE浏览器，觉得IE浏览器不安全，功能也不够强大。而可供选择第三方浏览器非常多，比如Maxthon、世界之窗、Thooe等。这些浏览器提供了丰富的浏览功能，并且宣称对增强了安全性，增强了隐私浏览之类的功能。

其实这些第三方浏览器，都是建立在IE内核上的，在IE内核的基础上进行开发的。但是由于在使用IE内核接口进行开发时，由于IE内核本身存在着一些漏洞，因此这些浏览器也继承了IE内核的漏洞。到后期IE进行内核漏洞修补时，这些第三方浏览器使用的还是旧的IE内核，因此一些在IE中被修复了的旧漏洞，却在第三方浏览器中存在着，导致了第三方浏览器漏洞的产生！

由于"继承"特性造成的漏洞非常多，可能会造成第三方浏览器的用户被挂马、钓鱼欺骗等，这里先来看一个小漏洞。

在以前的IE中存在着一个"@"漏洞，常常被用来进行网络钓鱼欺骗，不过现在IE已经补上了这个漏洞，可是各种第三方浏览器中却还存在着这个古老的漏洞。

首先，打开IE浏览器，输入访问如下的网址：

http://[email protected]/

可以看到IE返回了错误的信息（图1），提示无法访问"[email protected]"这个域名，说明"@"符号是被当作了域名中的一个字符。

图1

再打开世界之窗浏览器（图129）、Maxthon（图130）等，同样访问上面的网址，可以看到返回了正常的QQ腾讯网页页面。不过这个页面的域名链接地址是"@"之后的内容，也就是说，"@"符号被当成了一个分隔符，之前的百度域名字符被忽略了，仅保留了"@"后面的内容。

图2  世界之窗@漏洞

图3 Maxthon浏览器@漏洞

鱼是这样钓的--第三方浏览器挂马

从上面的测试可以看到，在IE浏览器中，"@"钓鱼漏洞不存在了，但是第三方浏览器的流行，让这个老漏洞又有了利用的价值。攻击者可制作一个网页木马，诈骗用户访问打开此链接，从而导致遭受网页木马攻击。攻击者在一个论坛中发布一张欺骗性的帖子，假如帖子的主题为"注册网上银行中大奖啦！"，在帖子内容中输入一些欺骗诱惑性的内容，并留下网络银行的链接地址，诱骗用户登录自己伪造的虚假网站上。其中最重要的一个环节就是构造虚拟的链接地址，让用户以为自己登录的是正确的网站，一般来说，攻击者可将撰写模式切换为HTML，在帖子中加入如下的代码：

点击<a href="https://mybank.icbc.com.cn/icbc/perbank/regtip.jsp           @www.sina.com.cn/">http://www.icbc.com.cn/</a> ，即可登录注册开通网上银行中1万元大奖！

注意，这里在"@"前加入了空格及一个真的工行链接，以便在状态栏中显示链接时，隐藏"@"符号及后面的假工行链接。

当帖子发布以后，在网页中显示的将是"http://www.icbc.com.cn"链接地址，即使将鼠标移动到连接上在状态栏上看起来依然连接到"http://www.icbc.com.cn"的网站上（图4），但是当用户点击链接后，会连接到在网页中显示的是"中国工商银行网上银行"，但是当用户点击该链接时，却连接到了伪造的网站上。如果攻击者将新浪的网址换成网页木马链接地址，那么用户就很有可能上当受骗。

图4 @漏洞传播网马

另外，在一些第三方浏览器其它更为严重的跨域欺骗漏洞、XSS跨站脚本漏洞等，由于利用的方法比较复杂，因此这里就不多作讲解了。