FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

Varonis威胁实验室团队发布了一份令人警醒的报告，揭露现代浏览器处理混合文本方向时存在的一个持续十年以上的漏洞。这种被称为BiDi Swap的缺陷，允许攻击者伪造看似合法实则暗中重定向受害者的欺诈性网址。

漏洞原理：双向文本处理缺陷

该漏洞的核心问题在于浏览器对从左到右（LTR）和从右到左（RTL）文字（如英语和阿拉伯语）的解析方式。Varonis指出："通过利用浏览器处理RTL和LTR文字的特性，攻击者可以构造看似可信实则指向其他地址的网址，这种被称为BiDi Swap的方法常被用于钓鱼攻击。"

该漏洞延续了Unicode欺骗技术的历史沿革，包括：

• Punycode同形字攻击：用西里尔字母或希腊字母替换相似的拉丁字母（如"аpple.com"与"apple.com"）
• RTL覆盖利用：使用Unicode控制字符伪装恶意文件扩展名，例如将"blafdp.exe"显示为看似无害的"blaexe.pdf"

这些手法共同证明，微小的文本处理特性可能造成重大安全风险。

技术根源：Bidi算法局限性

漏洞源于双向（Bidi）算法——一个旨在正确渲染混合语言文本的Unicode标准。Varonis解释称："虽然Bidi算法通常能妥善处理主域名，但在子域名和URL参数方面存在缺陷。这意味着混合LTR-RTL的网址可能无法按预期显示，为恶意行为打开方便之门。"

攻击者可通过混合文字仿冒可信域名，例如：

https://varonis.com.ו.קום/parameter
https://ורוניס.קום.ו.קום/

这些伪造链接只需匆匆一瞥，就能诱使用户误以为正在访问合法网站。

浏览器厂商应对现状

尽管该问题已知存在超过十年，浏览器厂商仍未提供全面修复方案。Varonis指出："Chrome的'相似网址导航建议'功能提供部分保护，但测试显示它仅标记特定域名（如'google.com'），许多其他域名仍能绕过检测。"

Firefox则采用不同策略，通过在地址栏高亮显示关键域名部分帮助用户识别可疑链接。微软Edge团队虽声称已"解决"该问题，但网址呈现方式仍未改变。

防护建议

Varonis总结认为用户警惕性仍至关重要："务必验证可疑网址——特别是那些混合文字或显示异常模式的链接。"团队同时呼吁浏览器开发者加强域名高亮和相似性检测功能，建议企业持续开展链接安全教育培训。

参考来源：

BiDi Swap: A Decade-Old Unicode Flaw Still Enables URL Spoofing

免责声明

1.一般免责声明：本文所提供的技术信息仅供参考，不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》，作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。

2. 适用性声明：文中技术内容可能不适用于所有情况或系统，在实际应用前请充分测试和评估。若因使用不当造成的任何问题，相关方不承担责任。

3. 更新声明：技术发展迅速，文章内容可能存在滞后性。读者需自行判断信息的时效性，因依据过时内容产生的后果，作者及发布平台不承担责任。

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）