Подмена адресной строки в Mozilla Firefox

@WolfCF · Регистрация: 28.04.2009

Студворк — интернет-сервис помощи студентам

Программа: Mozilla Firefox 3.6.4, возможно другие версии.

Опасность: Низкая

Наличие эксплоита: Да

Описание:
Уязвимость позволяет удаленному пользователю произвести спуфинг атаку.

Уязвимость существует из-за того, что адресная строка нового окна отображает URL запрашиваемой страницы до загрузки самой страницы. Удаленный пользователь может с помощью JavaScript функции window.stop() остановить загрузку новой страницы и отобразить произвольные данные на странице, содержащей в адресной строке URL доверенного ресурса.

URL производителя: www.mozilla.com/firefox

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки:
http://lcamtuf.blogspot.com/2010/06/...bar-thing.html

источник

Humanoid · 28.06.2010, 09:09

Это уязвимость не фаерфокса, а самого JavaScript. Это его нормальное поведение, о последствиях которого не подумали в своё время. И этому подвержены все браузеры. Во всяком случае, я проверял на IE8 и Opera... наверняка и на Хроме сработает. Наверное, надо просто сильно ограничить работу с дескриптором нового окна.

@Vanstorm · 28.06.2010, 13:31

Это не уязвимость а фигня какая-то. Естественно это должно работать. ИМХО

Humanoid · 28.06.2010, 14:02

Сообщение от Vanstorm

Это не уязвимость а фигня какая-то.

Да, но всё равно ситуация неприятная. Ведь можно такое всплывающее окно сделать при клике по ссылке. Пользователь будет думать, что он на настоящем сайте, а на самом деле ему подсовывают левые страницы.

@odip · 28.06.2010, 21:14

Не беспокойтесь за пользователя
Он найдет способ как вирус принести себе на комп !

Новые блоги и статьи Все статьи Все блоги /
Контроль заполнения и очистка дат в зависимости от значения перечислений Maks 12.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "ПланированиеПерсонала", разработанного в конфигурации КА2. Задача: реализовать контроль корректности заполнения дат назначения. . .	Архитектура слоя интернета для сервера-слоя. Hrethgir 11.04.2026 В продолжение https:/ / www. cyberforum. ru/ blogs/ 223907/ 10860. html Знаешь что я подумал? Раз мы все источники пишем в голове ветки, то ничего не мешает добавить в голову такой источник, который сам. . .	Подстановка значения реквизита справочника в табличную часть документа Maks 10.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "ПланированиеПерсонала", разработанного в конфигурации КА2. Задача: при выборе сотрудника (справочник Сотрудники) в ТЧ документа. . .	Очистка реквизитов документа при копировании Maks 09.04.2026 Алгоритм из решения ниже применим как для типовых, так и для нетиповых документов на самых различных конфигурациях. Задача: при копировании документа очищать определенные реквизиты и табличную. . .
модель ЗдравоСохранения 8. Подготовка к разному выполнению заданий anaschu 08.04.2026 https:/ / github. com/ shumilovas/ med2. git main ветка * содержимое блока дэлэй из старой модели теперь внутри зайца новой модели 8ATzM_2aurI	Блокировка документа от изменений, если он открыт у другого пользователя Maks 08.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа, разработанного в конфигурации КА2. Задача: запретить редактирование документа, если он открыт у другого пользователя. / / . . .	Система безопасности+живучести для сервера-слоя интернета (сети). Двойная привязка. Hrethgir 08.04.2026 Далее были размышления о системе безопасности. Сообщения с наклонным текстом - мои. А как нам будет можно проверить, что ссылка наша, а не подделана хулиганами, которая выбросит на другую ветку и. . .	Модель ЗдрввоСохранения 7: больше работников, больше ресурсов. anaschu 08.04.2026 работников и заданий может быть сколько угодно, но настроено всё так, что используется пока что только 20% kYBz3eJf3jQ

@WolfCF 3318 / 1380 / 110 Регистрация: 28.04.2009 Сообщений: 4,822

	Подмена адресной строки в Mozilla Firefox 28.06.2010, 05:08. Показов 4258. Ответов 4 Метки нет (Все метки) Программа: Mozilla Firefox 3.6.4, возможно другие версии. Опасность: Низкая Наличие эксплоита: Да Описание: Уязвимость позволяет удаленному пользователю произвести спуфинг атаку. Уязвимость существует из-за того, что адресная строка нового окна отображает URL запрашиваемой страницы до загрузки самой страницы. Удаленный пользователь может с помощью JavaScript функции window.stop() остановить загрузку новой страницы и отобразить произвольные данные на странице, содержащей в адресной строке URL доверенного ресурса. URL производителя: www.mozilla.com/firefox Решение: Способов устранения уязвимости не существует в настоящее время. Ссылки: http://lcamtuf.blogspot.com/2010/06/...bar-thing.html источник 0

Humanoid Почетный модератор 11559 / 4353 / 453 Регистрация: 12.06.2008 Сообщений: 12,455
	28.06.2010, 09:09
	Это уязвимость не фаерфокса, а самого JavaScript. Это его нормальное поведение, о последствиях которого не подумали в своё время. И этому подвержены все браузеры. Во всяком случае, я проверял на IE8 и Opera... наверняка и на Хроме сработает. Наверное, надо просто сильно ограничить работу с дескриптором нового окна. 0

@Vanstorm 2773 / 341 / 22 Регистрация: 15.01.2008 Сообщений: 2,614
	28.06.2010, 13:31
	Это не уязвимость а фигня какая-то. Естественно это должно работать. ИМХО 0

@odip 7176 / 3234 / 82 Регистрация: 17.06.2009 Сообщений: 14,164
	28.06.2010, 21:14
	Не беспокойтесь за пользователя Он найдет способ как вирус принести себе на комп ! 0