Podrabianie paska URL w przeglądarce poprzez mechanizm RTL (Right To Left)

17 sierpnia 2016, 15:05 | W biegu | komentarze 4
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Tego jeszcze chyba nie było ;) Jak wprowadzić w przeglądarce adres, który dla użytkownika będzie wyglądał mało podejrzanie, np. w pasku URL mamy: google.com/blablabla, ale przeglądarka wykonuje komunikację do innego niż Google adresu IP?

Można to wymusić za pomocą kodowania znanego np. w j. arabskim (czytamy tam od prawej do lewej). Można to zrobić np. tak:

http://182.176.65.7/%EF%B9%B0/http://google.com/test

Poniżej przykład – nie wygląda jak standardowy komunikat błędu 404 z Google, prawda? :) (żeby IP nie kłuł w oczy można wydłużyć początkową scieżkę do jakiegoś długiego adresu np. : google.com/fakepath/fakepath/fakepath/… /127.0.0.1)

gog

Albo tak: http://عربي.امارات/google.com/test/test/test

Podatność została sfixowana w najnowszym Chrome / Firefoksie – jak nie sprawdzacie aktualizacji co godzinę, możecie jeszcze być podatni ;)

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. JN

    Mobilny chrome wciąż podatny.

    Odpowiedz
  2. Łukasz
    Odpowiedz
  3. Cola

    Nie działa u mnie widzę link normalnie..

    Odpowiedz
    • Pewnie masz już załataną przeglądarkę :)

      Odpowiedz

Odpowiedz