Phishing z URL Obfuscation jest kontynuowany w Safari 4

Trudno w to uwierzyć, ale nowa wersja Apple’przeglądarka “Safari 4” nadal jest podatny na techniki zaciemniania adresów URL. Wszyscy inni dostawcy przeglądarek, czy to Internet Explorer, Firefox, Opera czy Chrome, już dawno naprawili ten problem. Jednak wszyscy naprawili ten problem, używając zupełnie innych rozwiązań, co rodzi pytanie, które nie powinno’t przestrzegają wspólnego standardu ??


Dla tych z was, którzy don’Jeśli wiesz, co to jest zaciemnianie adresów URL, to odwieczna technika wykorzystywana przez phisherów do fałszowania legalnych stron internetowych, takich jak popularne banki, itp. Phisher wyśle ​​e-maile ze spamem, które twierdzą, że pochodzą z Twojego banku, a jeśli popadniesz w błąd, możesz skończyć rezygnacja z poświadczeń. Wśród popularnych technik ta wydaje mi się najważniejsza, ponieważ próbuje wykorzystać uwierzytelnianie osadzone za pomocą łącza, które odbywa się za pomocą formatu URL http: // nazwa użytkownika: hasł[email protected]. Atakujący może użyć zbyt długie adresy URL aby całkowicie ukryć podejrzaną część paska adresu “@ evilwebsite.com” lub coś w tym rodzaju “@evilwebsiteip (xx.xx.xx.xx)” z różnymi metodami kodowania liczb.

Do moich testów wykonałem następujące czynności: {Uwaga: adres IP został zmieniony od ostatniego postu, obrazy mają stary adres IP}

1. Wkleiłem ten adres URL w przeglądarce’s pasek adresu

2). Najechałem na ten hiperlink i zauważyłem mój STATUS BAR [szerokość okna powinna wynosić <= 1024]

Oto wyniki:

Safari 4.0 (530.17): Safari jest podatna na ten exploit. Nie podejmuje żadnych kroków w celu złagodzenia tego problemu. Zbyt długi adres URL w pasku adresu nadal pokazuje się tak, jak po otwarciu strony internetowej, a zatem normalny użytkownik prawdopodobnie padnie ofiarą tego ataku phishingowego (patrz obrazek poniżej). Ponadto pasek stanu jest domyślnie wyłączony. Ponieważ większość użytkowników don’Jeśli zmienisz ustawienia domyślne, użytkownik ponownie częściej padnie ofiarą kliknięcia hiperłącza w Internecie. Jeśli wyraźnie włączyłeś pasek stanu, możesz zidentyfikować złą stronę. Powodem jest to, że Safari wykonuje obcinanie długiego adresu URL, umieszczając “..” na środku, więc na końcu zobaczysz podejrzaną część.

6__500x400_urlobfuscation16__500x400_urlobfuscation1

Opera 9.64: Opera ma kilka strategii ograniczających ryzyko w celu ochrony przed tym exploitem. Pojawi się wyskakujące okienko ostrzegające użytkownika, że ​​nazwa użytkownika jest wprowadzana jako część adresu URL. Nazwa użytkownika w komunikacie o błędzie może być nieco myląca dla użytkownika i idealnie powinna zamiast tego umieścić nazwę / ip złej strony, która jest lepszym wskaźnikiem (takim, którego używa Firefox). Kolejna smutna część to “TAK” przycisk jest opcją domyślną. Więc jeśli użytkownik nie rozumie wiadomości lub przypadkowo naciska “WCHODZIĆ” (co większość ludzi robi, gdy widzą wyskakujące okienka), mogą stać się ofiarą tego ataku phishingowego. Jeśli chodzi o część paska stanu, gdy najedziesz kursorem na zbyt długi hiperłącze, Opera obcina go na końcu (co jest złe), więc wygrałeś’t zobaczyć złe informacje o witrynie na końcu adresu URL.

9__500x400_urlobfuscation49__500x400_urlobfuscation4

Chrome 2.0.172.31: Zaciemniony adres URL działa w przeglądarce Google Chrome, jednak firma Google podjęła ważne kroki ograniczające, aby całkowicie zapobiec wyłudzaniu informacji. Pierwszą rzeczą, której nie wyświetlają “Nazwa użytkownika Hasł[email protected]” część adresu URL po najechaniu kursorem na link. Drugą rzeczą, którą robią, jest rozebranie “Nazwa użytkownika Hasł[email protected]” część adresu URL podczas odwiedzania tego adresu URL, więc użytkownik wyraźnie widzi złą nazwę witryny lub adres IP. To zdecydowanie sprawia, że ​​użytkownik jest podejrzliwy i dlatego wygrał’t zakochuje się w exploicie. Ostatnią rzeczą, jaką robią, jest zamiana adresów dziesiętnych na notację z kropkami.

7__500x400_urlobfuscation27__500x400_urlobfuscation2

Internet Explorer 7.0.5730.13: Internet Explorer przestał obsługiwać format adresu URL uwierzytelniania opartego na łączu od wersji IE7. Co więcej, jeśli umieścisz te długie adresy URL w hiperłączach, wygrają’działa nawet wtedy, gdy użytkownik je kliknie. Tak, TAK, nie jesteś podatny na ten exploit w IE. Mam jednak problem z podniesionym komunikatem o błędzie “System Windows nie może znaleźć …” gdy użytkownik próbuje uzyskać dostęp do takich adresów URL. Naprawdę uważam, że Microsoft powinien poprawić treść tej wiadomości, ponieważ w przeciwnym razie zwykły użytkownik może pomyśleć, że IE nie jest w stanie otworzyć takich adresów URL i może spróbować użyć innych przeglądarek, takich jak Safari, gdzie stają się ofiarą jego ataku phishingowego.

8__500x400_urlobfuscation38__500x400_urlobfuscation3

Firefox 3.5 Beta 4: Ostatni, ale nie mniej ważny, Firefox. Naprawdę podoba mi się Firefox, który inteligentnie decyduje o treści komunikatów o błędach. Jeśli witryna nie obsługuje podstawowego uwierzytelniania HTTP, użytkownik nie może podać żadnych danych uwierzytelniających użytkownika. Wywołuje więc ważną wiadomość, że jesteś oszukiwany. Obejmuje także witrynę zła’nazwa lub adres ip i potwierdza, jeśli chcesz się tam wybrać. Również, “NIE” przycisk jest wyborem domyślnym. Istnieje prawie 0% możliwości, że osoba padnie ofiarą tego ataku phishingowego. Jeśli chodzi o część paska stanu, po najechaniu kursorem na zbyt długi hiperłącze Firefox obcina go na końcu (podobnie jak Opera, która jest zła), więc wygrałeś’t zobaczyć złe informacje o witrynie na końcu adresu URL.

10__500x400_urlobfuscation510__500x400_urlobfuscation5

Uważam, że wspólne techniki ograniczania ryzyka powinny być wdrażane jednolicie we wszystkich przeglądarkach. Łącząc techniki stosowane przez Firefoksa i Chrome, możemy uzyskać to, co najlepsze z obu światów, które będzie nadal obsługiwać uwierzytelnianie oparte na linkach i zmniejszać luki w zabezpieczeniach wynikające z zaciemniania adresów URL za pomocą zbyt długich adresów URL.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me