BugTraq.Ru
 Русский BugTraq
http://www.bugtraq.ru/rsn/archive/2003/12/13.html

Подделка адреса в IE
dl // 12.12.03 01:52
Старый трюк с маскировкой адреса в виде http://www.microsoft.com@www.bugtraq.ru уже давно никого (ну почти никого:) не вводит в заблуждение.
[Не забывайте при копировании материала указывать полный адрес источника: http://www.bugtraq.ru/rsn/archive/2003/12/13.html]
Однако, если вставить перед @ символы 0x01%00 (0x01 - сам символ, %00 - url-encoded 0x00, вот так), IE покажет только первую часть адреса - и в строке ввода адреса, и в строке статуса при проведении мышкой над данной ссылкой. К слову сказать, обертки вокруг IE типа MyIE с этим успешно справляются.

Источник: Secunia Advisory    
теги: microsoft  |  предложить новость  |  обсудить  |  все отзывы (3) [9621]
назад «  » вперед

аналогичные материалы
Microsoft обещает радикально усилить безопасность Windows в следующем году // 19.11.24 17:09
Microsoft Authenticator теряет пользовательские аккаунты // 05.08.24 22:21
Облачнолазурное // 31.07.24 17:34
Microsoft планирует избавиться от NTLM // 15.10.23 18:40
Microsoft убивает VBScript // 11.10.23 23:46
В Microsoft Bing Chat пролезла вредоносная реклама // 30.09.23 15:05
Microsoft прикрывает Visual Studio for Mac // 30.08.23 19:17
  
последние новости
Microsoft обещает радикально усилить безопасность Windows в следующем году // 19.11.24 17:09
Ядро Linux избавляется от российских мейнтейнеров // 23.10.24 23:10
20 лет Ubuntu // 20.10.24 19:11
Tailscale окончательно забанила российские адреса // 02.10.24 18:54
Прекращение работы антивируса Касперского в США // 30.09.24 17:30
Microsoft Authenticator теряет пользовательские аккаунты // 05.08.24 22:21
Облачнолазурное // 31.07.24 17:34

Комментарии:

Идея нашла своё продолжение 23.12.03 18:24  
Автор: JINN <Sergey> Статус: Elderman
Отредактировано 23.12.03 20:52  Количество правок: 1
<"чистая" ссылка>
> Подделка адреса в IE
> Secunia Advisory http://www.secunia.com/advisories/10395/
Подделывать можно не только адреса, но и имена загружаемых файлов:
(tested in Windows 2003 Web Server edition)

Internet Explorer file downloading security alerts bypass
Хм... 12.12.03 02:37  
Автор: fly4life <Александр Кузнецов> Статус: Elderman
<"чистая" ссылка>
> Подделка адреса в IE
> Secunia Advisory http://www.secunia.com/advisories/10395/
>
>
> Старый трюк с маскировкой адреса в виде
> http://www.microsoft.com@www.bugtraq.ru уже давно никого
> (ну почти никого:) не вводит в заблуждение. Однако, если
> вставить перед @ символы %01%00
( вот так [
> http://www.microsoft.com%00@bugtraq.ru/index.html ]), IE
> покажет только первую часть адреса - и в строке ввода
> адреса, и в строке статуса при проведении мышкой над данной
> ссылкой. К слову сказать, обертки вокруг IE типа MyIE с
> этим успешно справляются.

У меня в мозилле при наведении мышкой на эту ссылку: [ http://www.microsoft.com%00@bugtraq.ru/index.html ]в строке статуса тоже видится только http://www.microsoft.com и какая-то мелкая закорючка.
Главное, что при проходе по ссылке в адресной строке все... 12.12.03 02:57  
Автор: dl <Dmitry Leonov>
<"чистая" ссылка>
> У меня в мозилле при наведении мышкой на эту ссылку: [
> http://www.microsoft.com%00@bugtraq.ru/index.html
> строке статуса тоже видится только http://www.microsoft.com
> и какая-то мелкая закорючка.

Главное, что при проходе по ссылке в адресной строке все вылезает.
<добавить комментарий>





  Copyright © 2001-2024 Dmitry Leonov Design: Vadim Derkach