Újabb webcím hamisítást lehetővé tevő hiba az Internet Explorerben
Benjamin Tobias Franz jelentette be nemrég, hogy egy új módszert talált hamisított linkek készítésére Internet Explorerben (illetve az annak motorjával működő Outlook Expressben). Egyesek ugyan azt terjesztik, hogy mindenféle véletlenszerűen generált bemenetre kipróbálva az Internet Explorer mutatkozik a legstabilabbnak, Benjamin módszere rámutat, hogy jól meggondolt bemenettel könnyen át lehet verni, és ezen keresztül meg lehet károsítani a használóit.
A webcím hamisítás lényege, hogy rávegyük a felhasználót, hogy egy olyan linkre kattintson, mely káros oldalra vezet - míg a felhasználó a helyes célpontra jutásról van meggyőződve. Ezt a módszert előszeretettel használják bankkártya adatok kicsalására, elvezetve a felhasználót egy bank weboldalának hű mására, és ott az adatait kérve. Az Internet Explorer korábban felfedezett webcím hamisítási hibáit a javítócsomagok már többnyire foltozták, Benjamin azonban egy új megoldást mutatott be:Az itt látható (helytelen) HTML kódban az Internet Explorer nem képes a linkben található táblázatot jól feldolgozni, és a link célpontjának az állapotsorban a
A hibában más böngésző termékek nem érintettek, ezért ismét elmondhatjuk, hogy megfelelő megoldás az áttérés egy használhatóbb böngészőre (és levelezőprogramra).
■ A webcím hamisítás lényege, hogy rávegyük a felhasználót, hogy egy olyan linkre kattintson, mely káros oldalra vezet - míg a felhasználó a helyes célpontra jutásról van meggyőződve. Ezt a módszert előszeretettel használják bankkártya adatok kicsalására, elvezetve a felhasználót egy bank weboldalának hű mására, és ott az adatait kérve. Az Internet Explorer korábban felfedezett webcím hamisítási hibáit a javítócsomagok már többnyire foltozták, Benjamin azonban egy új megoldást mutatott be:
<a href="http://www.microsoft.com/"><table><tr><td><a
href="http://www.google.com/">http://www.microsoft.com</td></tr></table></a>
microsoft.com
-ot jelöli meg, annak ellenére, hogy a kattintás valójában a Google oldalára vezet.A hibában más böngésző termékek nem érintettek, ezért ismét elmondhatjuk, hogy megfelelő megoldás az áttérés egy használhatóbb böngészőre (és levelezőprogramra).
És ez miért olyan nagy szá
Azért nagy szám...
-boogie-
és ez?
<a onmouseup="this.href='http://www.google.com'" href="http://www.mozilla.org">www.mozilla.org</a>
Ettől persze még a mozilla a jobb.
Tiltható...
-boogie-
Tiltott... mégis kijátszható!
v2.0
<a onmousedown="this.onmouseup=function (e) {if (!e.button) e.target.href='http://www.google.com'}" href="http://www.mozilla.org">www.mozilla.org</a>
Ez egyébként jobban meggondolva talán még egy bugreportot is megér.
Akkor most híres leszek? ;)
Eredeti hír
-boogie-
location nelkuli ablakoknal lehet igazan izgi
--
üdv: kmm...
Még 1 hasonló bug
Attila