URL 偽装の脆弱性

2003年12月13日(土) by level
B ?

すでに各所で既報ですが、IE をはじめ多くのブラウザで問題となる URL 偽装の脆弱性が報告されています。新もじら瓦版アルファ版mozillaZine 日本語版セキュリティホール memoスラッシュドットジャパンINTERNET Watchマイクロソフト

たとえば、こんなリンクが、あたかも mozilla.org へのリンクに見えてしまうというものです。

えむもじら on mozilla.org

実際 Mozilla や Firebird では、マウスカーソルをリンクに乗せたときのステータスバーの表示が http://mozilla.org となります。IE では表示されたページも http://mozilla.org/ となりますが、Mozilla では正しく表示されます。

ポイントは "http://" に続いて順に詐称したいドメイン名、"%00"、文字コード 0x01 をダイレクトに、"@"、実際に表示するサイトのように記述することのようです。

Mozilla の場合、URL 中の %00 が問題になるようです。
bug 228176 %00 in a URL causes incorrect display of hovered link in status bar

コメント

コメントはありません。

トラックバック

トラックバックは検索対象外です。

この記事にリンクしているページ < >

  1. [38] http://kita2.net/nisshi/2003/12/140100