常用瀏覽器未過濾“@”字符或?qū)е箩烎~網(wǎng)站橫行 搜狗,360,遨游,世紀(jì)之窗等
發(fā)布時(shí)間:2012-05-14 14:10:29 作者:Litteryi
我要評(píng)論

常用瀏覽器未過濾“@”字符或?qū)е箩烎~網(wǎng)站鏈接,為了防止出現(xiàn)類似事情,還需要及時(shí)過濾掉
搜狗、360、遨游還有世紀(jì)之窗等幾個(gè)瀏覽器都是差不多的!
當(dāng)初軟件開發(fā)是基于IE6的內(nèi)核系統(tǒng)的。
現(xiàn)今IE6早就已經(jīng)更新
現(xiàn)在在IE6中打開http://www.baidu.com@jb51.net回顯“語(yǔ)法錯(cuò)誤”信息
過濾了"@"字符
但是現(xiàn)在搜狗、360、遨游還有世紀(jì)之窗等瀏覽器均不出現(xiàn)回顯錯(cuò)誤
而是直接跳轉(zhuǎn)至地址http://jb51.net
假設(shè)某論壇支持HTML代碼
則發(fā)帖內(nèi)容為:<a href="https://mybank.icbc.com.cn/icbc/perbank/regtip.jsp@www.sina.com.cn/">http://www.icbc.com.cn/</a>
那么如果用戶使用的是上述幾個(gè)瀏覽器之一,看到的信息是http://www.icbc.com.cn
但是點(diǎn)擊進(jìn)入的實(shí)際地址卻是www.sina.com(如果是釣魚地址呢……)
漏洞證明:
假設(shè)某論壇支持HTML代碼
則發(fā)帖內(nèi)容為:<a href="https://mybank.icbc.com.cn/icbc/perbank/regtip.jsp@www.sina.com.cn/">http://www.icbc.com.cn/</a>
那么如果用戶使用的是上述幾個(gè)瀏覽器之一,看到的信息是http://www.icbc.com.cn
但是點(diǎn)擊進(jìn)入的實(shí)際地址卻是www.sina.com(如果是釣魚地址呢……)
修復(fù)方案:
直接過濾掉。
當(dāng)初軟件開發(fā)是基于IE6的內(nèi)核系統(tǒng)的。
現(xiàn)今IE6早就已經(jīng)更新
現(xiàn)在在IE6中打開http://www.baidu.com@jb51.net回顯“語(yǔ)法錯(cuò)誤”信息
過濾了"@"字符
但是現(xiàn)在搜狗、360、遨游還有世紀(jì)之窗等瀏覽器均不出現(xiàn)回顯錯(cuò)誤
而是直接跳轉(zhuǎn)至地址http://jb51.net
假設(shè)某論壇支持HTML代碼
則發(fā)帖內(nèi)容為:<a href="https://mybank.icbc.com.cn/icbc/perbank/regtip.jsp@www.sina.com.cn/">http://www.icbc.com.cn/</a>
那么如果用戶使用的是上述幾個(gè)瀏覽器之一,看到的信息是http://www.icbc.com.cn
但是點(diǎn)擊進(jìn)入的實(shí)際地址卻是www.sina.com(如果是釣魚地址呢……)
漏洞證明:
假設(shè)某論壇支持HTML代碼
則發(fā)帖內(nèi)容為:<a href="https://mybank.icbc.com.cn/icbc/perbank/regtip.jsp@www.sina.com.cn/">http://www.icbc.com.cn/</a>
那么如果用戶使用的是上述幾個(gè)瀏覽器之一,看到的信息是http://www.icbc.com.cn
但是點(diǎn)擊進(jìn)入的實(shí)際地址卻是www.sina.com(如果是釣魚地址呢……)
修復(fù)方案:
直接過濾掉。
相關(guān)文章
局域網(wǎng)共享安全方式之用局域網(wǎng)文件共享系統(tǒng)實(shí)現(xiàn)共享文件夾安全設(shè)置
現(xiàn)在很多單位都有文件服務(wù)器,經(jīng)常會(huì)共享文件讓局域網(wǎng)用戶訪問。那么,如何才能保護(hù)局域網(wǎng)內(nèi)共享文件夾的安全性呢?下面通過本文給大家分享局域網(wǎng)共享安全方式之用局域網(wǎng)文2017-05-11- 這篇文章主要介紹了IIS的FastCGI漏洞處理方法,需要的朋友可以參考下2017-04-30
IIS PHP fastcgi模式 pathinfo取值錯(cuò)誤任意代碼執(zhí)行漏洞修復(fù)方法
這篇文章主要介紹了PHP fastcgi模式 pathinfo取值錯(cuò)誤任意代碼執(zhí)行漏洞,需要的朋友可以參考下2017-04-30- IIS短文件名泄露漏洞,IIS上實(shí)現(xiàn)上存在文件枚舉漏洞,攻擊者可利用此漏洞枚舉獲取服務(wù)器根目錄中的文件,這里為大家分享一下安裝方法,需要的朋友可以參考下2017-04-23
用mcafee麥咖啡設(shè)置服務(wù)器基本用戶安全(防止新建用戶與修改密碼)
這篇文章主要介紹了用麥咖啡設(shè)置服務(wù)器基本用戶安全(防止新建用戶與修改密碼),需要的朋友可以參考下2017-02-26防范黑客入侵,關(guān)閉端口封鎖大門 黑客無(wú)法入侵
這篇文章主要介紹了防范黑客入侵,關(guān)閉端口封鎖大門 黑客無(wú)法入侵的相關(guān)資料,需要的朋友可以參考下2016-10-31現(xiàn)代網(wǎng)絡(luò)性能監(jiān)控工具應(yīng)具備何種技能?網(wǎng)絡(luò)與應(yīng)用程序監(jiān)控
大家都知道現(xiàn)在市場(chǎng)上的網(wǎng)絡(luò)性能監(jiān)控工具大有所在,這為現(xiàn)在的IT行業(yè)的人員提供了很多便利,幫助IT管理團(tuán)隊(duì)監(jiān)控網(wǎng)絡(luò)性能,并且?guī)椭鶬T管理人員確定系統(tǒng)性能的瓶頸所在,進(jìn)而2016-10-19- 雖然現(xiàn)在網(wǎng)絡(luò)很發(fā)達(dá),但對(duì)我們普通人而言,也就是10多年的上網(wǎng)歷史,好多人還沒意識(shí)到信息安全的重要性。那么如何保證自己的上網(wǎng)安全?下面小編為大家分享10條防范自救,一2016-10-12
- 這篇文章主要介紹了遠(yuǎn)離病毒 八項(xiàng)基本原則的相關(guān)資料,需要的朋友可以參考下2016-10-08
- 這篇文章主要介紹了Linux 防范病毒的方法的相關(guān)資料,需要的朋友可以參考下2016-10-08