Phishing cu URL Obfuscation continuă în Safari 4

Ei bine, este greu de crezut, dar noua versiune a Apple’browserul s “Safari 4” continuă să fie vulnerabil la tehnicile de obstrucție URL. Toți ceilalți furnizori de browser, fie că este vorba de Internet Explorer, Firefox, Opera sau Chrome, au rezolvat această problemă cu mult timp în urmă. Cu toate acestea, toată lumea a rezolvat această problemă folosind soluții complet diferite, ceea ce ridică întrebarea care nu ar trebui’ei respectă un standard comun ??


Pentru cei dintre voi care nu’Nu știu care este obstrucția URL-ului, este o tehnică veche care folosește fișierele pentru a răsfăța site-uri web legitime, cum ar fi băncile populare etc. renunțând la acreditările dvs. Printre tehnicile populare, eu simt că este cea mai importantă, deoarece încearcă să exploateze autentificarea încorporată a legăturilor, care se face folosind un format url http: // nume de utilizator: [email protected]. Un atacator poate folosi urluri prea lungi pentru a ascunde complet partea suspectă în bara de adrese care este “@ evilwebsite.com” sau ceva de genul “@evilwebsiteip (xx.xx.xx.xx)” cu diferite metode de codificare a numărului.

Pentru testarea mea, am făcut următoarele: {Notă: IP-ul sa schimbat de la ultima postare, imaginile au IP vechi}

1. Am lipit această adresă URL în browser’bara de adrese

2. Am trecut pe acest hyperlink și am observat BARA DE STATUS [Lățimea ferestrei ar trebui să fie <= 1024]

Iată rezultatele:

Safari 4.0 (530.17): Safari este vulnerabil la această exploatare. Nu face nicio măsură pentru atenuarea acestei probleme. În bara de adrese, url-ul excesiv de lung continuă să apară așa cum este după deschiderea paginii web și, prin urmare, un utilizator normal este foarte probabil să cadă pradă acestui atac de phishing (vezi imaginea de mai jos). De asemenea, bara de stare este dezactivată implicit. Din moment ce majoritatea utilizatorilor nu donează’pentru a schimba setările implicite, utilizatorul este din nou mai probabil să cadă pradă atunci când face clic pe un hyperlink undeva pe web. Dacă ați activat explicit bara de stare, atunci puteți identifica site-ul rău. Motivul este că Safari face o trunchiere pe url-ul lung, punând “..” la mijloc, deci veți vedea partea suspectă la sfârșit.

6__500x400_urlobfuscation16__500x400_urlobfuscation1

Opera 9.64: Opera are câteva strategii de atenuare pentru a se proteja împotriva acestei exploatări. Va crește un pop-up care va avertiza utilizatorul că un nume de utilizator este introdus ca parte a adresei URL. Numele de utilizator în mesajul de eroare poate fi puțin confuz pentru utilizator și, în mod ideal, ar trebui să pună în schimb numele / ip-ul site-ului rău, care este un indicator mai bun (unul pe care Firefox îl folosește). O altă parte tristă este “DA” butonul este opțiunea implicită. Deci, dacă un utilizator nu înțelege mesajul sau apasă accidental “INTRODUCE” (ceea ce fac majoritatea oamenilor când văd pop-up), ar putea deveni o victimă a acestui atac de phishing. În ceea ce privește partea de bară de stare, atunci când treceți peste un hyperlink excesiv de lung, Opera o trunchie la final (ceea ce este rău), astfel încât ați câștigat’Nu văd informațiile despre site-uri rele la sfârșitul adresei URL.

9__500x400_urlobfuscation49__500x400_urlobfuscation4

Chrome 2.0.172.31: URL-ul disfuncționat funcționează în Google Chrome, cu toate acestea Google a făcut pași importanți de atenuare pentru a preveni phishing-ul în totalitate. Primul lucru pe care nu îl afișează “nume utilizator, [email protected]” porțiunea URL când treceți peste un link. Al doilea lucru pe care îl fac este să se dezbrace “nume utilizator, [email protected]” o parte din URL când vizitează URL-ul, astfel încât un utilizator vede clar numele site-ului sau ip-ul rău. Acest lucru face ca utilizatorul să fie suspect și, prin urmare, câștigat’nu căd pentru exploatare. Ultimul lucru pe care îl fac este să convertească adresele zecimale în notațiune cu patru puncte.

7__500x400_urlobfuscation27__500x400_urlobfuscation2

Internet Explorer 7.0.5730.13: Internet Explorer a încetat să mai accepte formatul url de autentificare bazat pe legătură de la IE7. Mai mult, dacă introduceți aceste URL-uri lungi în hyperlink-uri, au câștigat’nu funcționează chiar dacă utilizatorul face clic pe ele. Deci, DA, nu sunteți vulnerabil la această exploatare în IE. Cu toate acestea, am o preocupare cu mesajul de eroare ridicat “Windows nu poate găsi …” când un utilizator încearcă să acceseze astfel de URL-uri. Simt cu adevărat că Microsoft ar trebui să îmbunătățească conținutul acestui mesaj, deoarece altfel, un utilizator normal ar putea crede că IE nu este capabil să deschidă astfel de URL-uri și ar putea încerca să folosească alte browsere precum Safari, unde devin o pradă a atacului său de phishing..

8__500x400_urlobfuscation38__500x400_urlobfuscation3

Firefox 3.5 Beta 4: Ultimul, dar nu cel mai puțin Firefox. Îmi place foarte mult Firefox care decide în mod inteligent conținutul mesajelor de eroare. În cazul în care site-ul dvs. nu acceptă autentificarea de bază HTTP, nu poate exista nici o recidivare a unui utilizator care furnizează credențe de autentificare. Deci, ridică un mesaj important că sunteți păcălit. De asemenea, include site-ul malefic’numele sau ip-ul și vă confirmă dacă doriți să mergeți acolo. De asemenea, “NU” butonul este alegerea implicită. Există aproape 0% posibilitatea ca o persoană să cadă o pradă acestui atac de phishing. În ceea ce privește partea de bara de stare, atunci când treceți pe un hyperlink excesiv de lung, Firefox îl trunchiează la sfârșit (la fel ca Opera, care este rău), așa că ați câștigat’Nu văd informațiile despre site-uri rele la sfârșitul adresei URL.

10__500x400_urlobfuscation510__500x400_urlobfuscation5

Cred că tehnicile comune de atenuare ar trebui să fie implementate uniform în toate browserele. Dacă combinăm tehnicile utilizate de Firefox și Chrome, putem obține cele mai bune din ambele lumi, ceea ce este să sprijine în continuare autentificarea bazată pe linkuri și atenuarea vulnerabilităților de securitate generate de ofuscarea url-ului cu URL-uri excesiv de lungi.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me