gildot

Topo
Sobre
FAQ
Tópicos
Autores
Preferências
Artigos
Sondagens
Propor artigo


8/3
gildicas
9/30
jobs
10/9
perguntas
10/25
press

 
Vulnerabilidade no IE permite uso de URLs falsos
Contribuído por ajc em 12-12-03 10:07
do departamento IEt-another
Internet Explorer The CodeMaker escreve "in securityfocus :
Há uma falha na forma como o Internet Explorer mostra os URLs na barra de endereços. Essa vulnerabilidade leva a que alguém mal intencionado possa "falsificar" um URL com o intuito de levar alguém a um site com um endereço diferente do que aparenta ter. A vulnerabilidade pode ser testada aqui. "

Leilão de código-fonte com mensagens de Natal | Governo livre, no software e na política  >

 

gildot Login
Login:

Password:

Referências
  • securityfocus
  • aqui
  • Mais acerca Internet Explorer
  • Também por ajc
  • Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário.
    FEAR (Pontos:2, Interessante)
    por Programador em 12-12-03 10:38 GMT (#1)
    (Utilizador Info)
    wget -r www.homebanking.net -o myhomebanking
    mv myhomebanking /var/www/htdocs

    Pomos um href sugestivo numa página bastante visitada:
    http://www.homebanking.pt%01@meuip


    Wow (Pontos:2)
    por 4Gr em 12-12-03 11:29 GMT (#2)
    (Utilizador Info)
    Que bug altamente, já me vou divertir à custa dos meus amigos :-)


    Dominus vobiscum
    Mozilla (Pontos:1)
    por dmaster em 12-12-03 12:38 GMT (#3)
    (Utilizador Info)
    Segundo O Inquirer o Mozilla também é afectado pelo mesmo problema.

    Mas nem tudo é mau, uso o Opera e este apresenta o URL; "http://www.microsoft.com@zapthedingbat.com/security/ex01/vun2.htm" em toda a sua glória!
    Re:Mozilla (Pontos:3, Informativo)
    por Psiwar em 12-12-03 13:32 GMT (#6)
    (Utilizador Info) http://www.netcode.pt
    No Mozilla só afecta a barra de status (uuuu que perigo) e mesmo assim aparece um char estranho.
    Re:Mozilla (Pontos:1)
    por cyborgas em 12-12-03 14:14 GMT (#7)
    (Utilizador Info) http://www.justoweb.com
    No Firebird não se verifica o BUG... versão 0.7

    --------------
    Só há 10 tipos de pessoas. As que conseguem perceber piadas em código binário e as que não conseguem.
    Re:Mozilla (Pontos:2)
    por mlopes em 12-12-03 17:09 GMT (#12)
    (Utilizador Info)
    Deve ser no deles, porque no meu isso não acontece.

    No woman ever falls in love with a man unless she has a better opinion of him than he deserves.

    Re:Mozilla (Pontos:2)
    por 4Gr em 12-12-03 18:10 GMT (#13)
    (Utilizador Info)
    Negative on that Houston!

    O meu Mozilla não se queixou de bug nenhum.


    Dominus vobiscum
    Re:Mozilla (Pontos:1)
    por Cirruz em 12-12-03 23:25 GMT (#16)
    (Utilizador Info)
    Mozilla/5.0 (Windows; U; Windows NT 5.0; en-US; rv:1.5) Gecko/20031007

    Tem o problema. O Firebird 0.7 não tem.

    Cirruz

    Re:Mozilla (Pontos:1)
    por taf em 13-12-03 4:18 GMT (#17)
    (Utilizador Info)
    o 1.4 para linux não tem esse bug... nem o 1.4 para windoze, por isso acho muito estranho que o 1.5 já tenha esse bug. Tenta verificar a tua fonte sff.
    Ideias.... (Pontos:3, Engraçado)
    por mlopes em 12-12-03 12:44 GMT (#4)
    (Utilizador Info)
    document.location.href=unescape('http://www.microsoft.com%01@www.mslinux.org/')

    No woman ever falls in love with a man unless she has a better opinion of him than he deserves.

    Re:Ideias.... (Pontos:2)
    por mlopes em 12-12-03 17:08 GMT (#11)
    (Utilizador Info)
    Já foram publicados artigos sobre esse site várias vezes no gildot, a piada é que agora podes fazer aparecer esse site com o endereço www.microsoft.com.

    No woman ever falls in love with a man unless she has a better opinion of him than he deserves.

    Viva a Microsoft (Pontos:0, Redundante)
    por liberdade em 12-12-03 14:15 GMT (#8)
    (Utilizador Info) http://gildot.org
    http://www.microsoft.com/ ?cod=23rf&user=editor@gildot.org
    Re:Viva a Microsoft (Correcção) (Pontos:0, Redundante)
    por liberdade em 12-12-03 14:16 GMT (#9)
    (Utilizador Info) http://gildot.org
    É mais isto: http://www.microsoft. com%cod%3D23rf&user%3Deditor@gildot.org
    Old, old, old, old (Pontos:1)
    por wS em 12-12-03 18:22 GMT (#14)
    (Utilizador Info)
    Se estão tão escandalizados com este exploit, então talvez devessem estar com mais atenção... lembro-me de páginas a gozar com a netcabo apresentadas neste formato já há praí dois ou três anos, pelo menos do que me lembro.

    O veredicto é OLD
    Bug não, xampa! (Pontos:1)
    por PRE em 12-12-03 18:35 GMT (#15)
    (Utilizador Info) http://psantos.net
    Gostava só de sublinhar que o bug advém só do facto do caracter '%01' esconder o '@...'. Porque um URL no HTTP pode ter o formato: user@host. Se não tivermos atenção podemos apanhar barretes em qualquer browser, não sei se os browsers avisam disto. Contudo, o IE ao esconder a parte do host, aparece lá na barra mesmo o endereço que esperamos, sem o host em que estamos, o que é chato... :)
    _____________________
    Pedro Santos «psantos.net»
    "Si minor plus est ergo nihil sunt omnia..."
    Correção (Pontos:1)
    por interney em 15-12-03 18:45 GMT (#18)
    (Utilizador Info) http://www.interney.net/
    Publiquei alternativas de correção na url abaixo http://www.interney.net/?p=9746906

     

     

    [ Topo | Sugerir artigo | Artigos anteriores | Sondagens passadas | FAQ | Editores | Preferências | Contacto ]