Баг в Chrome И Firefox позволял подменить URL, используя арабские символы!
Исследователь приводит простой пример: 127.0.0.1/ا/http://example.com. Из-за использования символа «ا» ссылка превратится в http://example.com/ا/127.0.0.1. Опасность заключается в том, что пользователь будет убежден, что находится на example.com, тогда как на самом деле в его браузере может открыться совсем другой сайт.
Баг, найденный Балочем, это настоящий подарок для фишеров, которые могут встраивать такие ссылки в почтовый спам, SMS-сообщения и так далее. Когда пользователь кликнет по такой ссылке, в адресной строке браузера он увидит адрес легитимного домена, хотя на самом деле будет направлен на сервер злоумышленника.
«Часть ссылки с IP-адресом очень легко спрятать, особенно в мобильных браузерах, достаточно создать ссылку подлиннее (например: google.com/fakepath/fakepath/fakepath/… /127.0.0.1), чтобы атака выглядела еще реалистичнее, — пишет исследователь. — Можно также использовать юникод-символ, изображающий замок, имитировав наличие SSL».
Проблема затрагивает браузеры Firefox для Android (CVE-2016-5267) и Chrome, но в браузере Mozilla реализация атаки выглядела немного иначе. Для Firefox атакующий не обязательно должен был задействовать IP-адрес, здесь было достаточно использования арабских символов, к примеру, URL вида http://عربي.امارات/google.com/test/test/test превращается в google.com/test/test/test/عربي.امارات.
Пост...
P.S.-Если все кинулись тестировать другие браузеры на наличие данного бага, то не забудьте пожалуйста отписаться в данном посте. Остальным участникам сообщества и пользователям пикабу будет интересно...)))))
Информационная безопасность IT
1.4K постов25.5K подписчика
Правила сообщества
Обязательно к прочтению для авторов:
1. Если вы добавляете пост, утверждающий об утечке данных или наличии дыр в системе, предоставьте ссылку на источники или технически подкованное расследование. Посты из разряда "Какой-то банк слил данные, потому что мне звонили мошенники" будут выноситься в общую ленту.
2. Все вопросы "Как обезопасить сервер\приложение\устройство" - в лигу "Компьютер это просто".
Обязательно к прочтению для всех:
Добавление ссылки разрешено если она не содержит описание коммерческих (платных) продуктов и/или идентификаторов для отслеживания перехода и для доступа не нужен пароль или оплата в т.ч. интернет-ресурсы, каналы (от 3-х тематических видео), блоги, группы, сообщества, СМИ и т.д.
Запрещены политические holy wars.
По решению модератора или администратора сообщества пользователь будет забанен за:
1. Флуд и оскорбление пользователя, в т.ч. провокация спора, флуда, холивара (высказывание без аргументации о конкретной применимости конкретного решения в конкретной ситуации), требование уже данного ответа, распространение сведений порочащих честь и репутацию, принижающих квалификацию оппонента, переходы на личности.
2. Публикацию поста/комментария не соответствующего тематике сообщества, в том числе обсуждение администраторов и модераторов сообщества, для этого есть специальное сообщество.
3. За обвинение в киберпреступной деятельности.
4. За нарушение прочих Правил Пикабу.