[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
Страница 1 из 11
Архив - только для чтения
Форум (архив). » Архив форума. » Архив форума. » РАСКРЫТЫ ПОДРОБНОСТИ БАГА СПУФИНГА АДРЕСНОЙ СТРОКИ (Текст Michael Mimoso, 18 августа 2016 , 19:18.)
РАСКРЫТЫ ПОДРОБНОСТИ БАГА СПУФИНГА АДРЕСНОЙ СТРОКИ
MotoBiker1995Дата: Пятница, 19.08.2016, 12:18 | Сообщение # 1
Настоящий начинающий мотокроссер.
Группа: Администраторы
Сообщений: 400
Награды: 4
Статус: Оффлайн
РАСКРЫТЫ ПОДРОБНОСТИ БАГА СПУФИНГА АДРЕСНОЙ СТРОКИ.


Chrome, Firefox и, вероятно, другие популярные браузеры подвержены уязвимости, позволяющей атакующему подделать URL-адрес, отображаемый в адресной строке. Представители Mozilla заявили, что уже выпустили патч для уязвимой версии Firefox для Android, а вот патч для Chrome выйдет лишь в сентябре, отметили представители Google.
Некоторые подробности этой уязвимости были на днях обнародованы ИБ-исследователем Рафеем Балохом (Rafay Baloch). Во время выступления на Black Hat Asia, проходившей в Сингапуре в марте этого года, он как раз таки делал доклад на тему спуфинга адресной строки. В посте на своем личном веб-сайте Балох пишет, что нынешняя уязвимость вызвана тем, что Chrome и Firefox для Android некорректно обрабатывают Unicode-символы вроде «|», присутствующие в арабском и иврите. Надписи на этих языках обычно отображаются справа налево, и в тех случаях, когда этот символ используется при написании IP-адреса, URL-адрес тоже будет развернут и станет отображаться справа налево. Как объясняет Балох, например, написав адрес «127.0.0.1/|/http://example.com/», он будет развернут и отобразится как «http://example.com/|/127.0.0.1». «В мобильных версиях браузеров часть строки, в которой написан IP-адрес, можно с легкостью скрыть, используя длинный URL-адрес (google.com/fakepath/fakepath/fakepath/… /127.0.0.1) с таким расчетом, чтобы адрес выглядел наиболее реалистичным, — пишет эксперт. — Для придания дополнительной реалистичности можно использовать и Unicode-символ амбарного замка, таким образом создав видимость использования SSL». В случае с Android-версией Firefox уязвимость (CVE-2016-5267) имеет свою специфику — в ее случае не требуется использование IP-адреса, отметил исследователь. Для ее эксплойта используются символы арабского языка. «Компания Mozilla была уведомлена об этой уязвимости, присутствующей в мобильной версии Firefox. В версии для персональных компьютеров уязвимость отсутствует, — заявил старший ИБ-инженер Дэн Ведиц (Dan Veditz). — Патч для Firefox для Android, вышедший 2 августа, устранил данную проблему. Пользователям настоятельно рекомендуется обновить Firefox до последней версии». Представители Mozilla подтвердили, что Балох получил вознаграждение в размере $1 тыс. Поскольку пользователь видит адрес назначения в адресной строке (в браузере Chrome она называется Omnibox), то он вряд ли насторожится, отмечает исследователь. «Схожая уязвимость была обнаружена и в других браузерах, патчи для которых должны появиться в ближайшее время, — пишет Балох. — Пока я не буду обнародовать их подробности. Я сделаю это уже после выпуска патчей». Выступая на Black Hat Asia, Балох рассказал об уязвимостях спуфинга адресной строки и контента в мобильных браузерах, в особенности для ОС Android, а также представил ряд атак, позволяющих обойти защитные механизмы вроде политики единого источника.

See more at: Раскрыты подробности бага спуфинга адресной строки https://wp.me/p3AjPO-4Bw


Гоняю, летаю, рву штаны и жгу бензин. Мотоциклы и мотокросс - это жизнь.
Чтобы заиметь семью - надо сначала заиметь любимое по жизни увлечение, но не наоборот. Потому, что все и вся люди не могут любить исключительно других людей.
《Байкер сам выбирает, ради чего и кого ему стоит жить. Он не ведётся на идиотские фразы о чувстве долга и навязанных ценностях от общества, которое понятия не имеет о мото-жизни.》 (С)
"Человек может просто в упор не видеть того, что не вписывается в его картину мира – независимо от того, верующий он или атеист. Атеизм от этого совершенно не лечит." (С)
 
Форум (архив). » Архив форума. » Архив форума. » РАСКРЫТЫ ПОДРОБНОСТИ БАГА СПУФИНГА АДРЕСНОЙ СТРОКИ (Текст Michael Mimoso, 18 августа 2016 , 19:18.)
Страница 1 из 11
Поиск: