Na liście NTBugrtraq Microsoft opublikował niedawno dokument zapowiadający oprogramowanie modyfikujące Internet Explorer i usuwające możliwość podania nazwy użytkownika i hasła w adresie URL w postaci: http(s)://username:password@server/
Zachowanie takie pozwala na przekazanie użytkownikowi odpowiednio sformatowanego adresu URL przekierowującej go na wybrany adres serwera, jednocześnie w pasku adresu i statusu pokazując inny adres.
Korzystając z metod opublikowanych w ostatnim czasie i stosownych już przez atakujących, jak naprzykład zastosowanie znaków "%00" pozwala to atakujacemu na oszukanie użytkownika.
Przykład:
Podanie adresu: http://www.bank.pl%01@niebezpiecznawitryna.com
może spowodować w IE pojawienie się w pasku stanu i pasku adresu infomracji o adresie http://www.bank.pl, gdy jednocześnie połączenie zostanie nawiązane do adresu http://niebezpiecznawitryna.com.
Informacje o planowanym oprogramowaniu można znaleźć w artykule Q834489.
Informacje o możliwości fałszowania adresu URL można znaleźć w artykule Q834489 oraz na naszych stronach w tekscie pt.:"Jak zamaskować swój adres URL".
Zobacz również:
Zapowiedź rozwiązania problemu fałszowania adresów URL w IE
Bezpieczeństwo |
Nd, 1 Luty 2004 16:07:05 +0100 |
Autor:
Redakcja
| Czytań: 4160
Pozostałe wiadomości w kategorii Bezpieczeństwo (2391)
Top 20 news
Komentarze
Najaktywniejsi
1
Rellik 9640 pkt.
2
grzemach 870 pkt.
3
betaKondor 470 pkt.
4
Koras 350 pkt.
5
Localghost 140 pkt.
6
kris2005a 140 pkt.
7
elmocamp 100 pkt.
8
Tommy 100 pkt.
9
Scoti 80 pkt.
10
sevar 60 pkt.
W tej chwili nie ma jeszcze komentarzy. Możesz jednak dodać swój własny.
Aby dodawać komentarze musisz się zalogować.