Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Sprawdź VPS od Aruba!

Aruba

Podrabianie paska URL w przeglądarce poprzez mechanizm RTL (Right To Left)

17 sierpnia 2016, 15:05 | W biegu | komentarze 4
Tagi: , ,

Tego jeszcze chyba nie było ;) Jak wprowadzić w przeglądarce adres, który dla użytkownika będzie wyglądał mało podejrzanie, np. w pasku URL mamy: google.com/blablabla, ale przeglądarka wykonuje komunikację do innego niż Google adresu IP?

Można to wymusić za pomocą kodowania znanego np. w j. arabskim (czytamy tam od prawej do lewej). Można to zrobić np. tak:

http://182.176.65.7/%EF%B9%B0/http://google.com/test

Poniżej przykład – nie wygląda jak standardowy komunikat błędu 404 z Google, prawda? :) (żeby IP nie kłuł w oczy można wydłużyć początkową scieżkę do jakiegoś długiego adresu np. : google.com/fakepath/fakepath/fakepath/… /127.0.0.1)

gog

Albo tak: http://عربي.امارات/google.com/test/test/test

Podatność została sfixowana w najnowszym Chrome / Firefoksie – jak nie sprawdzacie aktualizacji co godzinę, możecie jeszcze być podatni ;)

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. JN
    19 sierpnia, 2016 | 10:03 am

    Mobilny chrome wciąż podatny.

    Odpowiedz
  2. Łukasz
    19 sierpnia, 2016 | 10:48 am
    Odpowiedz
  3. Cola
    1 września, 2016 | 3:33 pm

    Nie działa u mnie widzę link normalnie..

    Odpowiedz
    • sekurak
      1 września, 2016 | 3:54 pm

      Pewnie masz już załataną przeglądarkę :)

      Odpowiedz

Odpowiedz