漏洞关键信息 漏洞详情 描述: - 通过在地址栏输入一个会导致返回304状态码的URL,然后按下回车键,页面不会加载,但URL仍停留在那里。利用 可以检测到用户按下回车键的时刻。通过这种方式,攻击者可以创建一个恶意网站,让它看起来像一个账户登录页面。 版本: - Chrome版本: 69.0.3497.81 (官方版本) (64位) (稳定) - 操作系统: macOS 10.13.6 复现案例: - 提供了一个简单的示例 ,该示例伪造了对 域名的请求。任何返回304状态码的网站都可能有此问题。 - 提供了测试链接: httpstat.us测试网站。 - 其他返回重定向(如301、302等)的状态码也可能存在该问题。 其他信息 优先级: P2 严重性: S3 状态: 已修复 报告人: je...@gmail.com 负责人: mm...@chromium.org 组件: Chromium > UI > Browser > Omnibox 标签: - Fixed - Vulnerability - P2 - Security_Impact-Stable - reward-inprocess - CVE_description-submitted 上报时间: 2018年9月10日 讨论 报告人提到在其他浏览器中,通常会加载目标域名,但显示为空白页。如果该行为被视为正常和明显,则不太严重。 报告人不确定该问题是否仅在稳定版本中发生,还是已被无意中修复。 添加了Omnibox和导航专家到关注列表以供进一步确认和处理。