| Precedente :: Successivo |
| Autore |
Messaggio |
ioSOLOio
Amministratore
Registrato: 12/09/03 19:01
Messaggi: 16342
Residenza: in un sacco di...acqua
|
 Inviato: 07 Lug 2005 11:31 Oggetto: * spoofing again - by js |
 |
|
.
Da questo articolo, un proof of concept proposto da Salvatore Aranzulla....questa la pagina di spiegazione e questa la pagina dell'esempio.
| Citazione: |
L?exploit si può riassumere in queste righe:
| Codice: | <script language="javascript">
function cambia_url(indirizzo) {
document.getElementById(?indirizzo_cattivo?).href = indirizzo;
}
</script>
<a href="[sito fidato]" onBlur="cambia_url(?[sito fidato]?);"
id="indirizzo_cattivo" onClick="cambia_url(?[sito cattivo]?);"
onMouseup="cambia_url(?[sito cattivo]?);">[nome collegamento]</a>
|
|
. |
|
| Top |
|
 |
holifay
Dio maturo
Registrato: 08/03/05 10:48
Messaggi: 2912
Residenza: Milano
|
| Inviato: 07 Lug 2005 12:32 Oggetto: |
|
|
un motivo in più per tenere anche i javascript disattivati  |
|
| Top |
|
|
horus
Macchinista
Registrato: 22/03/05 10:48
Messaggi: 2554
Residenza: Sirio e dintorni
|
| Inviato: 07 Lug 2005 12:39 Oggetto: |
|
|
| Avrebbe senso ma ci avete mai provato? Sono veramente pochissimi i siti che ti permettono di usarli senza js. |
|
| Top |
|
|
holifay
Dio maturo
Registrato: 08/03/05 10:48
Messaggi: 2912
Residenza: Milano
|
| Inviato: 07 Lug 2005 13:19 Oggetto: |
|
|
| horus ha scritto: | | Avrebbe senso ma ci avete mai provato? Sono veramente pochissimi i siti che ti permettono di usarli senza js. |
io ho una estensione di FF che si chiama No Script e li tengo sempre disattivati. Quando c'è un sito che non viene visualizzato come dovrebbe li posso abilitare selettivamente in modo temporaneo o permanente con un semplice click del mouse.
Ad esempio abilito i javascript del Corriere, ma non quelli di Imrworldwide o Dada che non mi servono.
Tornando alla vulnerabilità, nella modalità che uso di solito (script disattivati) non mi sono accorta di niente: entrambi i link mi hanno portato sul sito Microsoft 
|
|
| Top |
|
|
SverX
Supervisor Macchinisti
Registrato: 25/03/02 12:16
Messaggi: 11861
Residenza: Tokelau
|
| Inviato: 07 Lug 2005 14:24 Oggetto: |
|
|
Io avrei da ridire sul fatto che questa possa essere ritenuta una vulnerabilità: con Jabbascript si è sempre potuto scrivere sulla statusbar quello che si voleva (una volta ci scrivevano "link" adesso invece Salvatore ci scrive una url che NON è quella che si crede di aprire) e la chiamerei vulnerabilità solo se "lì" sulla statusbar non si fosse potuto mai scrivere prima...
insomma: chi si fida della status? |
|
| Top |
|
|
SverX
Supervisor Macchinisti
Registrato: 25/03/02 12:16
Messaggi: 11861
Residenza: Tokelau
|
| Inviato: 08 Lug 2005 09:30 Oggetto: |
|
|
per chi è interessato: ho messo su una paginetta che "sfrutta" la stessa "vulnerabilità". Occhio però che NON usa Jabbascript, è HTML puro...
Ho scritto a Salvatore sul suo sito... vediamo cosa mi risponde...
Pagina di esempio qui
Opera 7.54 non scrive niente sulla status.
FireFox 1.0.4 scrive microsoft.com e poi (effettivamente) va proprio su microsoft...
IE 6.0 ci "casca"... ovvero scrive microsoft.com sulla status ma poi va dove "lo porta il cuore" 
provate anche voi... |
|
| Top |
|
|
ioSOLOio
Amministratore
Registrato: 12/09/03 19:01
Messaggi: 16342
Residenza: in un sacco di...acqua
|
| Inviato: 08 Lug 2005 09:41 Oggetto: |
|
|
| SverX ha scritto: |
Opera 7.54 non scrive niente sulla status.
FireFox 1.0.4 scrive microsoft.com e poi (effettivamente) va proprio su microsoft...
IE 6.0 ci "casca"... ovvero scrive microsoft.com sulla status ma poi va dove "lo porta il cuore"
provate anche voi... |
Opera : impossibilitato a confermare per mancanza del software
Firefox: confermo
IE6.0: confermo |
|
| Top |
|
|
SverX
Supervisor Macchinisti
Registrato: 25/03/02 12:16
Messaggi: 11861
Residenza: Tokelau
|
| Inviato: 08 Lug 2005 10:04 Oggetto: |
|
|
con una piccola modifica ci "casca" anche Opera...
firefox sembra più "ostico" |
|
| Top |
|
|
holifay
Dio maturo
Registrato: 08/03/05 10:48
Messaggi: 2912
Residenza: Milano
|
| Inviato: 08 Lug 2005 11:39 Oggetto: |
|
|
| SverX ha scritto: | con una piccola modifica ci "casca" anche Opera...
firefox sembra più "ostico" |
...io scriverei oltre che a HTML.it anche a P.I. visto che anche loro ieri segnalavano la "falla". La tua mi sembra più un vero bug perchè il comportamento dei browser è diverso e meriterebbe attenzione.
Ma forse anche un articoletto su ZN...
In fondo "Dio del codice" era più azzeccato...
|
|
| Top |
|
|
SverX
Supervisor Macchinisti
Registrato: 25/03/02 12:16
Messaggi: 11861
Residenza: Tokelau
|
| Inviato: 08 Lug 2005 11:47 Oggetto: |
|
|
| Non ho contatti nè con HTML.it nè con PI quindi per ora ho scritto a Salvatore Aranzulla e a Paolo Attivissimo... vediamo |
|
| Top |
|
|
SverX
Supervisor Macchinisti
Registrato: 25/03/02 12:16
Messaggi: 11861
Residenza: Tokelau
|
| Inviato: 11 Lug 2005 12:37 Oggetto: |
|
|
In ogni caso ritengo corretto informare sia Opera che Microsoft. Per Opera nessun problema, c'è un breve modulo da compilare, che ho compilato... ma per MS... davvero, non riesco a trovare dove segnalare gli errori 
Qualcuno sa darmi un link? |
|
| Top |
|
|
Gateo
Dio maturo
Registrato: 17/11/03 19:16
Messaggi: 12379
|
| Inviato: 11 Lug 2005 14:12 Oggetto: |
|
|
| SverX ha scritto: | In ogni caso ritengo corretto informare sia Opera che Microsoft. Per Opera nessun problema, c'è un breve modulo da compilare, che ho compilato... ma per MS... davvero, non riesco a trovare dove segnalare gli errori
Qualcuno sa darmi un link? |
Insomma, non lo sai ancora? Sono features, non errori!
Anzi, attento che a segnalare problemi ti accusano si essere un'acher e ti arrestano... |
|
| Top |
|
|
SverX
Supervisor Macchinisti
Registrato: 25/03/02 12:16
Messaggi: 11861
Residenza: Tokelau
|
| Inviato: 11 Lug 2005 14:14 Oggetto: |
|
|
... e se non glielo segnalo poi faccio invece la figura di quello che parla male dei loro software e poi non ha un comportamento corretto nei loro confronti...
quindi? |
|
| Top |
|
|
chemicalbit
Dio maturo
Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano
|
| Inviato: 11 Lug 2005 14:21 Oggetto: |
|
|
| SverX ha scritto: | ma per MS... davvero, non riesco a trovare dove segnalare gli errori
Qualcuno sa darmi un link? |
prova da qui:
http://www.microsoft.com/italy/info/contattaci.mspx |
|
| Top |
|
|
SverX
Supervisor Macchinisti
Registrato: 25/03/02 12:16
Messaggi: 11861
Residenza: Tokelau
|
| Inviato: 11 Lug 2005 14:45 Oggetto: |
|
|
| grazie... vediamo cosa dicono |
|
| Top |
|
|
Franto
Semidio
Registrato: 14/06/05 16:05
Messaggi: 367
Residenza: como (provincia)
|
| Inviato: 11 Lug 2005 15:15 Oggetto: |
|
|
| holifay ha scritto: |
io ho una estensione di FF che si chiama No Script e li tengo sempre disattivati. Quando c'è un sito che non viene visualizzato come dovrebbe li posso abilitare selettivamente in modo temporaneo o permanente con un semplice click del mouse.
Ad esempio abilito i javascript del Corriere, ma non quelli di Imrworldwide o Dada che non mi servono.
|
anche io la uso e devo dire che è veramente fenomenale!! |
|
| Top |
|
|
maroc
Semidio
Registrato: 29/03/05 22:22
Messaggi: 213
|
| Inviato: 17 Lug 2005 14:37 Oggetto: |
|
|
IE 6 ha qualcosa di simile per i pop-up che vengono sempre bloccati e sono visualizzabili con un semplice click del mouse.
microsoft dovrebbe introdurre uesta possibilità anche per java script e plugin, imitando firefox.. |
|
| Top |
|
|
chemicalbit
Dio maturo
Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano
|
| Inviato: 17 Lug 2005 17:12 Oggetto: |
|
|
| holifay ha scritto: | | un motivo in più per tenere anche i javascript disattivati |
come si fa a disabilitarli in Internet Explorer 6.0 ?
ho provato a cercare in menù > Strumenti > Opzioni Internet > scheda avanzate
ma ho trovato solo alcune voci relative al debug e alla visualizzaizone degli errori degli script (in genere, non solo javascript)
| SverX ha scritto: | | grazie... vediamo cosa dicono |
Ti ha risposto la MicroSoft? |
|
| Top |
|
|
fdd
Dio maturo
Registrato: 22/04/05 01:33
Messaggi: 1734
Residenza: Giusto dietro l'angolo
|
| Inviato: 17 Lug 2005 17:21 Oggetto: |
|
|
| chemicalbit ha scritto: | | holifay ha scritto: | | un motivo in più per tenere anche i javascript disattivati |
come si fa a disabilitarli in Internet Explorer 6.0 ?
ho provato a cercare in menù > Strumenti > Opzioni Internet > scheda avanzate ma ho trovato solo alcune voci relative al debug e alla visualizzaizone degli errori degli script (in genere, non solo javascript)
|
Vedi Strumenti > Opzioni Internet > Protezione > Livello Personalizzato... > Esecuzione script delle applet Java (si trova nella sezione "Esecuzione script") |
|
| Top |
|
|
SverX
Supervisor Macchinisti
Registrato: 25/03/02 12:16
Messaggi: 11861
Residenza: Tokelau
|
| Inviato: 18 Lug 2005 10:29 Oggetto: |
 |
|
| chemicalbit ha scritto: | | Ti ha risposto la MicroSoft? |
Per ora solo che passavano il problema a chi di competenza... |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
