L’hameçonnage avec obfuscation d’URL continue dans Safari 4

C'est difficile à croire, mais la nouvelle version d'Apple’navigateur s “Safari 4” continue d'être vulnérable aux techniques d'obscurcissement d'URL. Tous les autres fournisseurs de navigateurs, que ce soit Internet Explorer, Firefox, Opera ou Chrome, ont résolu ce problème il y a longtemps. Cependant, tout le monde avait résolu ce problème en utilisant des solutions complètement différentes, ce qui soulève la question’Ils suivent une norme commune ??


Pour ceux d'entre vous qui ne’Je ne sais pas ce qu'est l'obscurcissement d'URL, c'est une technique séculaire que les hameçonneurs utilisaient pour usurper des sites Web légitimes comme les banques populaires, etc. abandonner vos informations d'identification. Parmi les techniques populaires, celle-ci est selon moi la plus importante car elle essaie d'exploiter l'authentification intégrée au lien qui se fait en utilisant un format URL http: // nom d'utilisateur: [email protected]. Un attaquant peut utiliser URL trop longues pour masquer complètement la partie suspecte dans votre barre d'adresse qui est “@ evilwebsite.com” ou quelque chose comme “@evilwebsiteip (xx.xx.xx.xx)” avec différentes méthodes d'encodage des nombres.

Pour mes tests, j'ai fait ce qui suit: {Remarque: l'IP a changé depuis le dernier message, les images ont l'ancienne IP}

1. J'ai collé cette URL dans le navigateur’barre d'adresse

2. J'ai survolé cet hyperlien et j'ai remarqué que ma BARRE D'ÉTAT [La largeur de la fenêtre devrait être <= 1024]

Voici les résultats:

Safari 4.0 (530.17): Safari est vulnérable à cet exploit. Il ne prend aucune mesure pour atténuer ce problème. Dans la barre d'adresse, l'url trop longue continue de s'afficher comme après l'ouverture de la page Web et, par conséquent, un utilisateur normal est très susceptible de devenir la proie de cette attaque de phishing (voir l'image ci-dessous). De plus, la barre d'état est désactivée par défaut. Étant donné que la plupart des utilisateurs ne’Pour modifier les paramètres par défaut, l'utilisateur est de nouveau plus susceptible de devenir la proie lorsqu'il clique sur un lien hypertexte quelque part sur le Web. Si vous avez explicitement activé la barre d'état, vous pouvez identifier le site malveillant. La raison étant que Safari fait une troncature sur la longue URL en mettant “..” au milieu, vous verrez donc la partie suspecte à la fin.

6__500x400_urlobfuscation16__500x400_urlobfuscation1

Opera 9.64: Opera a quelques stratégies d'atténuation pour se protéger contre cet exploit. Il affichera une fenêtre contextuelle alertant l'utilisateur qu'un nom d'utilisateur est entré dans le cadre de l'URL. Le nom d'utilisateur dans le message d'erreur peut être un peu déroutant pour l'utilisateur et idéalement, il devrait plutôt mettre le nom / ip du site malveillant qui est un meilleur indicateur (celui que Firefox utilise). Une autre partie triste est “OUI” est l'option par défaut. Donc, si un utilisateur ne comprend pas le message ou appuie accidentellement “ENTRER” (ce que la plupart des gens font lorsqu'ils voient des fenêtres contextuelles), ils pourraient devenir une victime de cette attaque de phishing. En ce qui concerne la partie de la barre d'état, lorsque vous survolez un hyperlien trop long, Opera le tronque à la fin (ce qui est mauvais), donc vous avez gagné’t voir les informations du site mal à la fin de l'URL.

9__500x400_urlobfuscation49__500x400_urlobfuscation4

Chrome 2.0.172.31: L'URL masquée fonctionne dans Google Chrome, mais Google a pris d'importantes mesures d'atténuation pour empêcher complètement le phishing. La première chose qu'ils n'affiche pas “Identifiant Mot de [email protected]” partie de l'URL lorsque vous survolez un lien. La deuxième chose qu'ils font est de retirer “Identifiant Mot de [email protected]” partie de l'URL lors de la visite de cette URL, de sorte qu'un utilisateur voit clairement le nom ou l'adresse IP du site. Cela rend définitivement l'utilisateur suspect et donc gagné’t tomber pour l'exploit. La dernière chose qu'ils font est de convertir les adresses décimales en notation quadruple en pointillés.

7__500x400_urlobfuscation27__500x400_urlobfuscation2

Internet Explorer 7.0.5730.13: Internet Explorer a cessé de prendre en charge le format d'URL d'authentification basée sur les liens à partir d'IE7. De plus, si vous mettez ces longues URL dans des hyperliens, ils gagneront’t fonctionne même si l'utilisateur clique dessus. Donc, OUI, vous n'êtes pas vulnérable à cet exploit dans IE. Cependant, j'ai un problème avec le message d'erreur soulevé “Windows ne trouve pas …” lorsqu'un utilisateur essaie d'accéder à ces URL. Je pense vraiment que Microsoft devrait améliorer le contenu de ce message, car sinon, un utilisateur normal pourrait penser qu'IE n'est pas en mesure d'ouvrir de telles URL et pourrait essayer d'utiliser d'autres navigateurs comme Safari, où ils deviennent la proie de son attaque de phishing..

8__500x400_urlobfuscation38__500x400_urlobfuscation3

Firefox 3.5 Beta 4: Dernier point, mais non le moindre, Firefox. J'aime vraiment Firefox qui décide intelligemment du contenu des messages d'erreur. Si votre site ne prend pas en charge l'authentification de base HTTP, il ne peut y avoir de cas d'utilisation d'un utilisateur fournissant des informations d'authentification. Donc, cela soulève un message important que vous êtes trompé. Il comprend également le site maléfique’s nom ou ip et confirme avec vous si vous souhaitez vous y rendre. Aussi, “NON” est le choix par défaut. Il y a près de 0% de possibilité qu'une personne soit la proie de cette attaque de phishing ici. En ce qui concerne la partie de la barre d'état, lorsque vous survolez un hyperlien trop long, Firefox le tronque à la fin (tout comme Opera qui est mauvais), donc vous avez gagné’t voir les informations du site mal à la fin de l'URL.

10__500x400_urlobfuscation510__500x400_urlobfuscation5

Je pense que les techniques d'atténuation communes devraient être mises en œuvre uniformément dans tous les navigateurs. Si nous combinons les techniques utilisées par Firefox et Chrome, nous pouvons tirer le meilleur parti des deux mondes, c'est-à-dire continuer à prendre en charge l'authentification basée sur les liens et atténuer les failles de sécurité résultant de l'obfuscation des URL avec des URL trop longues.

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me
Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

14 − = 8

map