ugrás a tartalomhoz

Újabb webcím hamisítást lehetővé tevő hiba az Internet Explorerben

Hojtsy Gábor · 2004. Okt. 31. (V), 17.38
Benjamin Tobias Franz jelentette be nemrég, hogy egy új módszert talált hamisított linkek készítésére Internet Explorerben (illetve az annak motorjával működő Outlook Expressben). Egyesek ugyan azt terjesztik, hogy mindenféle véletlenszerűen generált bemenetre kipróbálva az Internet Explorer mutatkozik a legstabilabbnak, Benjamin módszere rámutat, hogy jól meggondolt bemenettel könnyen át lehet verni, és ezen keresztül meg lehet károsítani a használóit.

A webcím hamisítás lényege, hogy rávegyük a felhasználót, hogy egy olyan linkre kattintson, mely káros oldalra vezet - míg a felhasználó a helyes célpontra jutásról van meggyőződve. Ezt a módszert előszeretettel használják bankkártya adatok kicsalására, elvezetve a felhasználót egy bank weboldalának hű mására, és ott az adatait kérve. Az Internet Explorer korábban felfedezett webcím hamisítási hibáit a javítócsomagok már többnyire foltozták, Benjamin azonban egy új megoldást mutatott be:

<a href="http://www.microsoft.com/"><table><tr><td><a
href="http://www.google.com/">http://www.microsoft.com</td></tr></table></a>
Az itt látható (helytelen) HTML kódban az Internet Explorer nem képes a linkben található táblázatot jól feldolgozni, és a link célpontjának az állapotsorban a microsoft.com-ot jelöli meg, annak ellenére, hogy a kattintás valójában a Google oldalára vezet.

A hibában más böngésző termékek nem érintettek, ezért ismét elmondhatjuk, hogy megfelelő megoldás az áttérés egy használhatóbb böngészőre (és levelezőprogramra).
 
1

És ez miért olyan nagy szá

Anonymous · 2004. Okt. 31. (V), 19.58
És ez miért olyan nagy szám? Akkor lenne az, ha a google.com helyett microsoft.com jelenne meg az address bar-ban. Ez legfeljebb annyiban plusz, hogy JS nélkül is működik. Na és? Aki kikapcsolja a JS-t az ilyenek miatt, az webcímet is fogja nézni.
2

Azért nagy szám...

Bártházi András · 2004. Okt. 31. (V), 20.40
...mert aki nem is tudja, hogy mi az a JS, vagy valamiért erre hagyatkozik, mert úgy gondolja, hogy kikapcsolt JS mellett ez aztán megbízható, az elnézHETI. S ha a feltétel megvan, megtörténhet a dolog, s elég egyszer megadni rossz helyre a bankos azonosítód, jelszavad, egyből eltűnhet minden pénzed valami jó kis külföldi bankszámlára... A biztonság arról szól, hogy semmiképp sem kerülhet el, csak oda, ahova akarod.

-boogie-
3

és ez?

ftomi · 2004. Nov. 1. (H), 09.15
Jó, akkor mit szóltok ehhez? Igaz JS, de a Mozilla is bezabálja, pedig az nem engedi, hogy a státuszsoron meghamisítsuk a linkeket. Tehát hamis biztonság érzetét kelti, mégpedig, hogy az van a státuszsorban, ahova menni fogunk, pedig nem.
<a onmouseup="this.href='http://www.google.com'" href="http://www.mozilla.org">www.mozilla.org</a>
Ettől persze még a mozilla a jobb.
5

Tiltható...

Bártházi András · 2004. Nov. 1. (H), 13.02
Firefox-ban a státusz sor megváltoztatását letilthatod, van rá egy külön beállítási lehetőség.

-boogie-
9

Tiltott... mégis kijátszható!

ftomi · 2004. Nov. 2. (K), 19.38
Épp erre próbáltam felhívni a figyelmet. A mozillában le lehet tiltani, hogy javascript a státuszsorral mahináljon. Azaz a felhasználó elvárja, hogy mindig azt lássa, ahova menni fog. Tehát hamis biztonságban tartja a Mozilla a felhasználókat. Ugyanis letiltott esetben is becsapható a státuszsorral a felhasználó, ahogy az a fenti kódjaim bizonyítják. (nálam pl le van tiltva a JS-nek ez a része) Ez nagyobb hiba, mint az IE említettje, mert az IE-nél senki sem bízik a státuszsorban, mivel javascripttel tetszőlegesen befolyásolható. És ahogy a cikkből is kiderül javascript nélkül is. (nem akartam én én leszólni senkit) Csak felhívtam a Mozilla legalább ennyire súlyos hibájára is a figyelmet. (és tényleg, lehet hogy nyomok egy bugreportot)
4

v2.0

ftomi · 2004. Nov. 1. (H), 10.04
Sőt, kicsit továbbfejlesztve jobbgomb properties-nél még mindig a régi címet írja ki, és csak klikk után megy a google.com-ra.

<a onmousedown="this.onmouseup=function (e) {if (!e.button) e.target.href='http://www.google.com'}" href="http://www.mozilla.org">www.mozilla.org</a>

Ez egyébként jobban meggondolva talán még egy bugreportot is megér.
Akkor most híres leszek? ;)
6

Eredeti hír

Bártházi András · 2004. Nov. 1. (H), 13.04
Az eredeti hír arról szólt, hogy kikapcsolt Javascript esetén is meghamisítható a cím. Ha ezt reprodukálod Mozilla, vagy bármely más böngésző alatt, nos, az valóban megér egy bugreportot...

-boogie-
7

location nelkuli ablakoknal lehet igazan izgi

kmm · 2004. Nov. 1. (H), 13.48
ha nem lazod a loc sort akkor meg nem is tudhatod "mi van" pl opera eseten ilyen veszely nincs :-)

--
üdv: kmm...
8

Még 1 hasonló bug

attlad · 2004. Nov. 2. (K), 16.13
A hírben belinkelt levlista thread-ben olvasható egy másik, hasonló IE bug is:

<base href="http://www.microsoft.com">

<a href=><form action="http://www.malware.com"
method="get"><INPUT style="BORDER-RIGHT: 0pt; BORDER-TOP: 0pt;
FONT-SIZE: 10pt; BORDER-LEFT: 0pt;
CURSOR: hand; COLOR: blue; BORDER-BOTTOM: 0pt; BACKGROUND-COLOR:
transparent;TEXT-DECORATION: underline" type=submit
value=http://www.microsoft.com></form></a>
Forrás: http://seclists.org/lists/bugtraq/2004/Oct/0366.html

Attila