Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

URL hamisítás

2007.10.20. 16:53 | buherator | Szólj hozzá!

Michal Sobieraj szemléletes cikkében azt elemzi, hogy hogyan kezelik a különböző böngészők a speciális Unicode karaktereket tartalmazó URL-eket. Szabadfordítás következik:

Azokat az URL-eket, amelyek nem-ASCII karaktereket is tartalmaznak, mindig ASCII kompatibilis formában (valahogy így xn--t-zfa.com) kellene a felhasználók számára megjeleníteni, hogy a vizuális megtévesztések elkerülhetők legyenek.

Úgy tűnik azonban, hogy néhány Unicode mellékjel meg tudja kerülni ezt a szabályt bizonyos elterjedt böngésző esetében.

Simán regisztrálhatom a xn--papal-yg2b.com domaint (miért is ne tehetném?), ahová könnyen eljuthatsz ha erre a linkre kattintasz: paỵpal.com

Ok, mi is történt? Nyilvánvalóan nem a PayPal.com-ra jutottál. Ez azért történt így, mert a link egy plusz karaktert tartalmaz, ami egy pontot helyez az őt megelőző karakter (ez esetben az y) alá. A használt betűtípustól függően lesz ez a pont többé-kevésbé észrevehető. Biztosak lehetünk benne, hogy a pénztől motivált gazfickók megoldást fognak találni rá, hogy olyan betűtípust és mellékjelet használjanak, amely nem ilyen könnyen kiszúrható, ezzel megkönnyítve egy későbbi phishing akciót.

Íme a link HTML kódja:
<a href='http://pay&#803;pal.com'>pay&#803;pal.com</a>

Hogy mely böngészők sebezhetőek ilyen módon? Megnéztem a négy legnészerűbb böngésző legfrissebb változatát (
IE (7.0.5730.13), Firefox (2.0.0.7), Opera (9.23, build 8808) és Safari (3.0.3, win32, build 522.15.5)), és a következőket találtam:

Firefox

A Firefox úgy tűnik ellenáll a támadásnak. Rejtélyes módon azonban néhány nem-ASCII karaktert nem hajlandó ASCII-ra fordítani mielőtt megjelenítené a cím- vagy státuszsorban (például ezt). Ennek ellenére a legújabb windowsos változaton végzett megfigyeléseim azt mutatják, hogy a Firefox meg sem próbálja feloldani ezeket a domaineket, helyette a Kiszolgáló nem található hibaüzenetet adja. Persze nem próbálgattam végig az összes lehetséges kombinációt, de néhány próba azt mutatja, hogy a böngésző meg sem próbál kapcsolódni ezekhez a domainekhez. A Firefox tehát jól szerepelt.

Internet Explorer 7


A címsorban


és a státuszsorban is működik a dolog.


Nem valami bizalomgerjesztő, ez már segíthet egy adathalászatnál. Szerencsére van néhány kapaszkodó:


Először is az ablak címében megjelenő fura URL már elég sokat elárul (de ezt ugye egy <title> megoldja...). Ez valószínűleg az XP helytelen Unicode kezeléséből adódik, amit a Vistaban már lehet hogy kijavítottak.
A másik dolog az URL mellett megjelenő nemzetköziesített domainnév ikon, ami figyelmeztet, hogy a cím nem-ASCII karaktereket is tartalmaz, jó lesz odafigyelni!

Safari

Itt a címsor és az ablak neve is megtévesztő


A státuszsorban megjelenő helyes cím jó lépésnek tűnik a phishing ellen, de sajnos a státuszsor alapértelmezetten ki van kapcsolva.


Opera


Legyünk őszinték, az Opera nyújtotta ebben a tesztben a legrosszabb teljesítményt. A cím és a státuszsor is hamisítható.


Sőt, még a tooltip is:


Az ablak nevével ugyanaz a helyzet, mint az IE7 esetében, de ezt alapesetben valószínűleg nem vesszük észre.

De ez semmi, a legújabb Opera még mindig becsapható ezzel a trükkel. Ijesztő.

Ha el akarjuk kerülni a csapdákat, legjobb ha egyszerűen bepötyögjük a címeket. Ha mindenképpen kattintanunk kell, akkor ellenőrizzük az SSL bizonyítványokat, amennyiben ilyenek nincsenek, ne adjunk meg érzékeny adatot! Általánosságban pedig jó ha gondolkodunk mielőtt klikkelünk.


Címkék: firefox opera safari internet explorer phishing url spoofing

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.