# Simple URL spoof in address bar

**Saya menemukan sebuah bug yang sangat sederhana dan mudah direproduksi.** Cukup dengan membuka situs milik attacker, lalu dari situ membuka [`google.com`](http://google.com), kemudian coba klik tombol "Back" (navigasi kembali). Jika setelah klik back, URL di address bar tetap menunjukkan [`google.com`](http://google.com), **namun konten yang ditampilkan berasal dari situs attacker**, maka ini bisa dikategorikan sebagai kerentanan **spoofing** yang valid.

Contoh skenario eksploitasi:

1. Korban mengunjungi situs attacker.
    
2. Situs attacker membuka [`https://www.google.com`](https://www.google.com) di tab yang sama (misalnya via `location.href`).
    
3. Korban menekan tombol "Back".
    
4. Halaman menampilkan konten dari attacker, **tetapi address bar masih menampilkan** [`google.com`](http://google.com).
    

![](https://cdn.hashnode.com/res/hashnode/image/upload/v1746898310048/384b91b9-15cc-4eb2-93a4-f509b0905650.png align="center")
