Phishing met URL-obfuscatie gaat verder in Safari 4

Nou, het is moeilijk te geloven, maar de nieuwe versie van Apple’s browser “Safari 4” blijft nog steeds kwetsbaar voor URL-obfuscatietechnieken. Alle andere browserverkopers, of het nu Internet Explorer, Firefox, Opera of Chrome is, hebben dit probleem al lang geleden opgelost. Iedereen had dit probleem echter opgelost met totaal verschillende oplossingen, wat de vraag oproept die zou moeten’Ze volgen een gemeenschappelijke norm ??


Voor degenen onder u die dat niet doen’t weet wat URL-verduistering is, het is een eeuwenoude techniek die phishers gebruikten om legitieme websites zoals populaire banken, enz. te vervalsen. De phisher stuurt spam-e-mails die beweren van uw bank te komen en als u voor de spoof valt, kunt u eindigen uw referenties opgeven. Onder de populaire technieken, is deze naar mijn mening de belangrijkste omdat deze probeert ingebedde authenticatie via links te benutten, wat gebeurt met een URL-indeling http: // gebruikersnaam: [email protected]. Een aanvaller kan gebruiken te lange URL's om het verdachte gedeelte in uw adresbalk volledig te verbergen “@ evilwebsite.com” of zoiets “@evilwebsiteip (xx.xx.xx.xx)” met verschillende methoden voor nummercodering.

Voor mijn testen deed ik het volgende: {Opmerking: IP gewijzigd van laatste bericht, afbeeldingen hebben oude IP}

1. Ik heb deze url in de browser geplakt’s adresbalk

2. Ik zweefde op deze hyperlink en merkte op dat mijn STATUSBALK [Vensterbreedte zou moeten zijn <= 1024]

Dit zijn de resultaten:

Safari 4.0 (530.17): Safari is kwetsbaar voor deze exploit. Er worden geen stappen ondernomen om dit probleem te verminderen. In de adresbalk blijft de al te lange url zichtbaar zoals deze is nadat de webpagina is geopend en daarom zal een normale gebruiker zeer waarschijnlijk ten prooi vallen aan deze phishing-aanval (zie onderstaande afbeelding). Ook is de statusbalk standaard uitgeschakeld. Omdat de meeste gebruikers don’Om de standaardinstellingen te wijzigen, is de kans groter dat de gebruiker opnieuw ten prooi valt wanneer hij ergens op internet op een hyperlink klikt. Als u de statusbalk expliciet hebt ingeschakeld, kunt u de kwaadaardige site identificeren. De reden hiervoor is dat Safari een afkapping doet van de lange URL door te zetten “..” in het midden, dus je ziet het verdachte gedeelte aan het einde.

6__500x400_urlobfuscation16__500x400_urlobfuscation1

Opera 9,64: Opera heeft een aantal mitigatiestrategieën om tegen dit misbruik te beschermen. Er verschijnt een pop-up waarin de gebruiker wordt gewaarschuwd dat een gebruikersnaam is ingevoerd als onderdeel van de URL. De gebruikersnaam in foutmelding kan een beetje verwarrend zijn voor de gebruiker en idealiter zou het in plaats daarvan de naam / ip van de slechte site moeten vermelden, wat een betere indicator is (een die Firefox gebruikt). Een ander triest deel is “JA” knop is de standaardoptie. Dus als een gebruiker het bericht niet begrijpt of per ongeluk op drukt “ENTER” (wat de meeste mensen doen wanneer ze pop-ups zien), kunnen ze het slachtoffer worden van deze phishing-aanval. Met betrekking tot het statusbalkgedeelte, wanneer u over een te lange hyperlink zweeft, verkort Opera deze aan het einde (wat slecht is), dus u won’t zie de slechte site-informatie aan het einde van de URL.

9__500x400_urlobfuscation49__500x400_urlobfuscation4

Chrome 2.0.172.31: De verduisterde URL werkt in Google Chrome, maar Google heeft belangrijke beperkende maatregelen genomen om phishing helemaal te voorkomen. Het eerste wat ze niet weergeven “gebruikersnaam [email protected]” gedeelte van de URL wanneer u over een link zweeft. Het tweede wat ze doen is dat ze het strippen “gebruikersnaam [email protected]” gedeelte van de URL bij het bezoeken van die URL, zodat een gebruiker duidelijk de kwaadaardige sitenaam of ip ziet. Dit maakt de gebruiker absoluut verdacht en dus gewonnen’t vallen voor de exploit. Het laatste wat ze doen, is dat ze decimale adressen omzetten in gestippelde quad-notatie.

7__500x400_urlobfuscation27__500x400_urlobfuscation2

Internet Explorer 7.0.5730.13: Internet Explorer stopte vanaf IE7 met het ondersteunen van het op link gebaseerde authenticatie-URL-formaat. Bovendien, als je deze lange URL's in hyperlinks plaatst, wonnen ze’t werkt zelfs als de gebruiker erop klikt. Dus, JA, je bent niet kwetsbaar voor deze exploit in IE. Ik maak me echter zorgen over het opgeheven foutbericht “Windows kan niet vinden …” wanneer een gebruiker toegang probeert te krijgen tot dergelijke URL's. Ik vind echt dat Microsoft de inhoud van dit bericht moet verbeteren, omdat een normale gebruiker anders misschien denkt dat IE dergelijke URL's niet kan openen en misschien andere browsers zoals Safari probeert te gebruiken, waar ze een prooi worden voor zijn phishing-aanval.

8__500x400_urlobfuscation38__500x400_urlobfuscation3

Firefox 3.5 Beta 4: Laatste, maar niet de minste Firefox. Ik hou echt van Firefox, dat op intelligente wijze de inhoud van foutmeldingen bepaalt. Als uw site geen HTTP-basisverificatie ondersteunt, kan er geen gebruik zijn van een gebruiker die verificatiegegevens verstrekt. Het roept dus een belangrijke boodschap op dat je voor de gek wordt gehouden. Het bevat ook de kwaadaardige site’s naam of ip en bevestigt met u of u daar naartoe wilt. Ook, “NEE” knop is de standaardkeuze. Er is bijna 0% kans dat iemand hier ten prooi valt aan deze phishing-aanval. Met betrekking tot het deel van de statusbalk, wanneer u met een te lange hyperlink zweeft, verkort Firefox deze aan het einde (net als Opera, wat slecht is), dus u won’t zie de slechte site-informatie aan het einde van de URL.

10__500x400_urlobfuscation510__500x400_urlobfuscation5

Ik vind dat gemeenschappelijke mitigatietechnieken uniform in alle browsers moeten worden geïmplementeerd. Als we de technieken combineren die worden gebruikt door Firefox en Chrome, kunnen we het beste van beide werelden behalen, namelijk door linkgebaseerde authenticatie te blijven ondersteunen en de beveiligingskwetsbaarheden die voortvloeien uit URL-obfuscatie te verminderen met te lange URL's.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me