Simple URL spoof in address bar

Hi, I’m a bug bounty hunter and cybersecurity enthusiast who began my journey in 2023. I enjoy exploring and discovering hidden vulnerabilities in browsers, applications, and various platforms—especially those that are rarely examined by others. My focus is on browser and website security issues. I also share my findings and educational content through my YouTube channel, Lazy Cyber Security. https://8da993bf3fa4.ngrok-free.app
Saya menemukan sebuah bug yang sangat sederhana dan mudah direproduksi. Cukup dengan membuka situs milik attacker, lalu dari situ membuka google.com, kemudian coba klik tombol "Back" (navigasi kembali). Jika setelah klik back, URL di address bar tetap menunjukkan google.com, namun konten yang ditampilkan berasal dari situs attacker, maka ini bisa dikategorikan sebagai kerentanan spoofing yang valid.
Contoh skenario eksploitasi:
Korban mengunjungi situs attacker.
Situs attacker membuka
https://www.google.comdi tab yang sama (misalnya vialocation.href).Korban menekan tombol "Back".
Halaman menampilkan konten dari attacker, tetapi address bar masih menampilkan
google.com.




![[Bug Bounty] Race Condition: Redeeming Single-Use Coupon Multiple Times](/_next/image?url=https%3A%2F%2Fcdn.hashnode.com%2Fres%2Fhashnode%2Fimage%2Fupload%2Fv1770116456998%2F629ff44d-4a0a-4445-91bf-c37d3e84c104.jpeg&w=3840&q=75)