過去ログ表示


過去ログ 51 を表示

トピック内全 23 記事中の 21 〜 23 番目を表示
[ 最新記事及び返信フォームをトピックトップへ ]
このトピックの全ページ / [0] [1] [2]

Re[2]: ステータスバー偽装の脆弱性
(#7606) このトピック中21番目の投稿

> JavaScriptでもステータスバー、URL欄ほか偽装サイトはハッキリ解ります。

今回の対策では、 http://www.st.ryukoku.ac.jp/~kjm/test/citibank.html で公開されているタイプの偽装方法については対策されていないようです。

【追記】
前述のページで公開されているデモにおいて、ステータスバーの表示では www.citibank.com にアクセスしに行くように見えますが、実際には www.st.ryukoku.ac.jp にアクセスしに行きます。
したがって、JavaScriptがONになっている環境では、ステータスバーに表示されるURLと実際にアクセスするURLが異なる ステータスバー偽装の脆弱性 が、依然として残っているといえるのではないかと...


Re[3]: ステータスバー偽装の脆弱性
(#7609) このトピック中22番目の投稿

>>JavaScriptでもステータスバー、URL欄ほか偽装サイトはハッキリ解ります。
↑なんあんさんがご指摘のとうり わたしの発言は厳密性に欠けていました。
  新たな手法が見つかる可能性も有りそうですね。

>るURLと実際にアクセスするURLが異なる ステータスバー偽装の脆弱性 が、依然として残っているといえるのではないかと...

http://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/2003/12.html#20031211_IE

a href=URL1 と onClick="location.href=URL2
が一緒に有る場合の問題ですね。
# 結局 JavaScripr ON では常に相手先ソースの確認ですか〜 まっその方が安全ですし勉強にもなりますね。

Re[2]: ステータスバー偽装の脆弱性
(#7618) このトピック中23番目の投稿

windows 2000 pro sp4で、通常のリンクを用いた偽装のテスト結果です。
FirebirdとThunderbirdの次リリースに向けたビルドで対策されました。
#リリースではない事から、「済」とはしていません。
#javascriptを用いた偽装については引き続き注意が必要です。(#7606)

後半は、内容不足で役に立つかわかりませんが、Mozilla側が
行う文字(列)の変換に関係したいくつかの事を書いています。
#ThunderbirdとIEの組み合わせについて書こうとして、脱線したものです。


#Firebird(nightly)
2004-01-20-14-0.8(FirebirdSetup.exe)は、OK。
2004-01-14-14-0.8(FirebirdSetup.exe)は、NG(ステータスバー偽装)。
2004-01-15-15-trunk(MozillaFirebird-win32.zip)は、OK。

#Thunderbird(nightly)
2004-01-13-trunk(thunderbird-win32.zip)は、OK。
#古いThunderbird
0.4リリース(thunderbird-0.4-win32.zip)は、NG(ステータスバー偽装)。
thunderbird-m5-win32.zipは、NG(ステータスバー偽装)。

Mozilla1.6リリースは、ブラウザ、メーラ共にOK。


## IE関連
Mozilla側が@手前の文字(列)を「%01」という表現に変換してしまう為、
Thunderbird(古いものも含む)とIE(6sp1でテスト)の組み合わせの場合、
@より後ろの本物のURLがIEのアドレスバーに表示されました。
@から前はIE側でユーザー名と判断される為かアドレスバーには表示されません。
いずれのMozilla製品(古いものも含む)からでも、リンクの場所をコピーして
IEのアドレスバーに貼り付けた場合や、リンクをIEにドラッグアンドドロップ
した場合も、同様にIEはアドレスバーに本物のURLを表示しました。
ただし、IEで「%01」といった表現でもjavascriptを介さずに
偽装される場合や、Mozilla側が別の変換をする場合などがあるならば、
この限りでは無いかもしれません。

## View Page/Selection Source
選択範囲のソースを見る場合には、Mozilla側が@手前の文字(列)を
「%01」という表現に変換してしまう為、ページ全体のソースを見る場合と
@手前の文字(列)の表現が異なります。
ページ全体のソースを見る場合も別のルールで文字(列)を変換する場合
があるようですが、詳しくは見ていません。

## DOM Inspector
も、文字(列)を変換してしまったり、変換後の文字(列)が表示できなかったり
するようですが、詳しくは見ていません。リンクをコピーする場合や
ページのソースを見る場合とは、また別のルールで変換しているかもしれません。


[ 前のトピック内容10件 ]
このトピックの全ページ / [0] [1] [2]

返信不可


- Child Tree -