В Safari 4 продолжается фишинг с помощью URL-адреса.

Ну, это трудно поверить, но новая версия Apple’браузер “Safari 4” по-прежнему остается уязвимым для методов запутывания URL. Все остальные поставщики браузеров, будь то Internet Explorer, Firefox, Opera или Chrome, уже давно решили эту проблему. Однако все исправили эту проблему, используя совершенно разные решения, что ставит вопрос, который’они следуют общему стандарту ??


Для тех из вас, кто не’Не знаю, что такое обфускация URL-адресов. Это старая технология, которую фишеры использовали для подделки законных веб-сайтов, таких как популярные банки и т. д. Фишер будет отправлять спам-письма, утверждающие, что они пришли из вашего банка, и если вы попадете на подделку, вы можете в конечном итоге отказавшись от своих полномочий. Среди популярных методик этот, я считаю, самый важный, поскольку он пытается использовать встроенную аутентификацию ссылок, которая выполняется с использованием формата URL Http: // имя пользователя: [email protected]. Злоумышленник может использовать слишком длинные URL полностью скрыть подозрительную часть в адресной строке, которая “@ evilwebsite.com” или что-то вроде “@evilwebsiteip (xx.xx.xx.xx)” с разными методами кодирования чисел.

Для тестирования я сделал следующее: {Примечание: IP-адрес изменился с последнего поста, изображения имеют старый IP-адрес}

1. Я вставил этот URL в браузер’адресная строка

2. Я завис над этой гиперссылкой и заметил мой STATUS BAR [Window Width должно быть <= 1024]

Вот результаты:

Safari 4.0 (530,17): Safari уязвим к этой уязвимости. Он не предпринимает никаких шагов для смягчения этой проблемы. В адресной строке слишком длинный URL-адрес продолжает отображаться, как и после открытия веб-страницы, и, следовательно, обычный пользователь, скорее всего, станет жертвой этой фишинг-атаки (см. Изображение ниже). Также строка состояния по умолчанию отключена. Так как большинство пользователей надевают’Если вы не измените настройки по умолчанию, пользователь снова станет жертвой, когда щелкнет гиперссылку где-нибудь в Интернете. Если вы явно включили строку состояния, то вы можете идентифицировать злой сайт. Причина в том, что Safari делает усечение по длинному URL, помещая “..” посередине, так что вы увидите подозрительную часть в конце.

6__500x400_urlobfuscation16__500x400_urlobfuscation1

Опера 9.64: Opera имеет несколько стратегий смягчения для защиты от этого эксплойта. Появится всплывающее окно, уведомляющее пользователя о том, что имя пользователя вводится как часть URL. Имя пользователя в сообщении об ошибке может немного сбить пользователя с толку, и в идеале вместо него следует указать имя / ip злого сайта, который является лучшим индикатором (который использует Firefox). Еще одна печальная часть “ДА” Кнопка является вариантом по умолчанию. Так что если пользователь не понимает сообщение или случайно нажимает “ВОЙТИ” (что большинство людей делают, когда видят всплывающие окна), они могут стать жертвой этой фишинг-атаки. Что касается части строки состояния, когда вы наводите курсор на чрезмерно длинную гиперссылку, Opera обрезает ее в конце (что плохо), чтобы вы выиграли’не вижу злой информации о сайте в конце URL.

9__500x400_urlobfuscation49__500x400_urlobfuscation4

Chrome 2.0.172.31: Обфусцированный URL-адрес работает в Google Chrome, однако компания Google предприняла важные шаги по предотвращению фишинга. Первое, что они не отображают “имя пользователя Пароль@” часть URL, когда вы наводите курсор мыши на ссылку. Второе, что они делают, они лишают “имя пользователя Пароль@” часть URL при посещении этого URL, поэтому пользователь четко видит злое имя сайта или IP-адрес. Это определенно делает пользователя подозрительным и, следовательно, выиграл’не влюбиться в подвиг. Последнее, что они делают, они конвертируют десятичные адреса в четырехточечную систему счисления..

7__500x400_urlobfuscation27__500x400_urlobfuscation2

Internet Explorer 7.0.5730.13: Internet Explorer перестал поддерживать формат URL-адреса аутентификации на основе ссылок начиная с IE7. Более того, если вы поместите эти длинные ссылки в гиперссылки, они выиграют’не работает, даже если пользователь нажимает на них. Итак, ДА, вы не уязвимы для этого эксплойта в IE. Тем не менее, у меня есть проблема с появлением сообщения об ошибке “Виндоус не может найти …” когда пользователь пытается получить доступ к таким URL-адресам. Я действительно считаю, что Microsoft должна улучшить содержание этого сообщения, так как в противном случае обычный пользователь может подумать, что IE не может открыть такие URL, и может попробовать использовать другие браузеры, такие как Safari, где они становятся жертвой его фишинг-атаки..

8__500x400_urlobfuscation38__500x400_urlobfuscation3

Firefox 3.5 Beta 4: Последний, но не менее важный Firefox. Мне очень нравится Firefox, который разумно решает содержание сообщений об ошибках. Если ваш сайт не поддерживает базовую аутентификацию HTTP, не может быть никакого сценария использования пользователем, предоставляющим учетные данные для аутентификации. Таким образом, возникает важное сообщение о том, что вас обманули. Это также включает злой сайт’s имя или IP-адрес и подтверждает с вами, если вы хотите пойти туда. Также, “НЕТ” Кнопка является выбором по умолчанию. Вероятность того, что человек станет жертвой этой фишинг-атаки, составляет почти 0%. Что касается части строки состояния, когда вы наводите курсор на чрезмерно длинную гиперссылку, Firefox обрезает ее в конце (точно так же, как Opera, которая плоха), так что вы выиграли’не вижу злой информации о сайте в конце URL.

10__500x400_urlobfuscation510__500x400_urlobfuscation5

Я чувствую, что общие методы смягчения должны быть реализованы одинаково во всех браузерах. Если мы объединим методы, используемые Firefox и Chrome, мы сможем получить лучшее из обоих миров, которое будет продолжать поддерживать аутентификацию на основе ссылок и смягчать уязвимости безопасности, возникающие из-за обфускации URL-адресов, с помощью чрезмерно длинных URL-адресов..

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me