常用瀏覽器未過濾“@”字符或?qū)е箩烎~網(wǎng)站橫行 搜狗,360,遨游,世紀之窗等
發(fā)布時間:2012-05-14 14:10:29 作者:Litteryi
我要評論

常用瀏覽器未過濾“@”字符或?qū)е箩烎~網(wǎng)站鏈接,為了防止出現(xiàn)類似事情,還需要及時過濾掉
搜狗、360、遨游還有世紀之窗等幾個瀏覽器都是差不多的!
當初軟件開發(fā)是基于IE6的內(nèi)核系統(tǒng)的。
現(xiàn)今IE6早就已經(jīng)更新
現(xiàn)在在IE6中打開http://www.baidu.com@jb51.net回顯“語法錯誤”信息
過濾了"@"字符
但是現(xiàn)在搜狗、360、遨游還有世紀之窗等瀏覽器均不出現(xiàn)回顯錯誤
而是直接跳轉至地址http://jb51.net
假設某論壇支持HTML代碼
則發(fā)帖內(nèi)容為:<a href="https://mybank.icbc.com.cn/icbc/perbank/regtip.jsp@www.sina.com.cn/">http://www.icbc.com.cn/</a>
那么如果用戶使用的是上述幾個瀏覽器之一,看到的信息是http://www.icbc.com.cn
但是點擊進入的實際地址卻是www.sina.com(如果是釣魚地址呢……)
漏洞證明:
假設某論壇支持HTML代碼
則發(fā)帖內(nèi)容為:<a href="https://mybank.icbc.com.cn/icbc/perbank/regtip.jsp@www.sina.com.cn/">http://www.icbc.com.cn/</a>
那么如果用戶使用的是上述幾個瀏覽器之一,看到的信息是http://www.icbc.com.cn
但是點擊進入的實際地址卻是www.sina.com(如果是釣魚地址呢……)
修復方案:
直接過濾掉。
當初軟件開發(fā)是基于IE6的內(nèi)核系統(tǒng)的。
現(xiàn)今IE6早就已經(jīng)更新
現(xiàn)在在IE6中打開http://www.baidu.com@jb51.net回顯“語法錯誤”信息
過濾了"@"字符
但是現(xiàn)在搜狗、360、遨游還有世紀之窗等瀏覽器均不出現(xiàn)回顯錯誤
而是直接跳轉至地址http://jb51.net
假設某論壇支持HTML代碼
則發(fā)帖內(nèi)容為:<a href="https://mybank.icbc.com.cn/icbc/perbank/regtip.jsp@www.sina.com.cn/">http://www.icbc.com.cn/</a>
那么如果用戶使用的是上述幾個瀏覽器之一,看到的信息是http://www.icbc.com.cn
但是點擊進入的實際地址卻是www.sina.com(如果是釣魚地址呢……)
漏洞證明:
假設某論壇支持HTML代碼
則發(fā)帖內(nèi)容為:<a href="https://mybank.icbc.com.cn/icbc/perbank/regtip.jsp@www.sina.com.cn/">http://www.icbc.com.cn/</a>
那么如果用戶使用的是上述幾個瀏覽器之一,看到的信息是http://www.icbc.com.cn
但是點擊進入的實際地址卻是www.sina.com(如果是釣魚地址呢……)
修復方案:
直接過濾掉。
相關文章
局域網(wǎng)共享安全方式之用局域網(wǎng)文件共享系統(tǒng)實現(xiàn)共享文件夾安全設置
現(xiàn)在很多單位都有文件服務器,經(jīng)常會共享文件讓局域網(wǎng)用戶訪問。那么,如何才能保護局域網(wǎng)內(nèi)共享文件夾的安全性呢?下面通過本文給大家分享局域網(wǎng)共享安全方式之用局域網(wǎng)文2017-05-11- 這篇文章主要介紹了IIS的FastCGI漏洞處理方法,需要的朋友可以參考下2017-04-30
IIS PHP fastcgi模式 pathinfo取值錯誤任意代碼執(zhí)行漏洞修復方法
這篇文章主要介紹了PHP fastcgi模式 pathinfo取值錯誤任意代碼執(zhí)行漏洞,需要的朋友可以參考下2017-04-30- IIS短文件名泄露漏洞,IIS上實現(xiàn)上存在文件枚舉漏洞,攻擊者可利用此漏洞枚舉獲取服務器根目錄中的文件,這里為大家分享一下安裝方法,需要的朋友可以參考下2017-04-23
用mcafee麥咖啡設置服務器基本用戶安全(防止新建用戶與修改密碼)
這篇文章主要介紹了用麥咖啡設置服務器基本用戶安全(防止新建用戶與修改密碼),需要的朋友可以參考下2017-02-26- 這篇文章主要介紹了防范黑客入侵,關閉端口封鎖大門 黑客無法入侵的相關資料,需要的朋友可以參考下2016-10-31
現(xiàn)代網(wǎng)絡性能監(jiān)控工具應具備何種技能?網(wǎng)絡與應用程序監(jiān)控
大家都知道現(xiàn)在市場上的網(wǎng)絡性能監(jiān)控工具大有所在,這為現(xiàn)在的IT行業(yè)的人員提供了很多便利,幫助IT管理團隊監(jiān)控網(wǎng)絡性能,并且?guī)椭鶬T管理人員確定系統(tǒng)性能的瓶頸所在,進而2016-10-19- 雖然現(xiàn)在網(wǎng)絡很發(fā)達,但對我們普通人而言,也就是10多年的上網(wǎng)歷史,好多人還沒意識到信息安全的重要性。那么如何保證自己的上網(wǎng)安全?下面小編為大家分享10條防范自救,一2016-10-12
- 這篇文章主要介紹了遠離病毒 八項基本原則的相關資料,需要的朋友可以參考下2016-10-08
- 這篇文章主要介紹了Linux 防范病毒的方法的相關資料,需要的朋友可以參考下2016-10-08