Σελίδες

Παρασκευή 29 Σεπτεμβρίου 2017

Internet Explorer: διαρρέει ότι πληκτρολογείτε σε ιστότοπους

Εάν χρησιμοποιείτε τον Internet Explorer της Microsoft αυτήν τη στιγμή, ό, τι πληκτρολογείτε στη γραμμή διευθύνσεων του προγράμματος περιήγησης μπορεί να διαρρεύσει στις ιστοσελίδες.

Το ζήτημα αποκαλύφθηκε από τον ερευνητή ασφαλείας Manuel Caballero την Τρίτη στην ιστοσελίδα Broken Browser.


Όταν εκτελείται ένα script μέσα σε ένα object-html tag, το αντικείμενο θέσης (location object) θα μπερδευτεί και θα επιστρέψει την κύρια τοποθεσία αντί την δικής του. Για να είμαι ακριβής, θα επιστρέψει το κείμενο που γράφτηκε στη γραμμή διευθύνσεων έτσι οποιοσδήποτε γράφει ένας χρήστης θα είναι προσβάσιμος από τον εισβολέα.

Αυτό σημαίνει είναι ότι οι ιστοσελίδες μπορούν να τρέξουν ένα απλό script για να μάθουν τι πληκτρολογούν οι χρήστες στη γραμμή διευθύνσεων του Internet Εxplorer ενώ ο
χρήστης βρίσκεται στον κάθε ιστότοπο που χρησιμοποιεί το script.

Μπορείτε να ελέγξετε το παρακάτω poc για να δείτε εάν η έκδοση του Internet Explorer που χρησιμοποιείτε, ή οποιοδήποτε άλλο πρόγραμμα περιήγησης, επηρεάζεται από το ζήτημα.

https://www.cracking.com.ar/demos/ieaddressbarguess/

Απλά πληκτρολογήστε οτιδήποτε σας έρχεται στο μυαλό σας στη γραμμή διευθύνσεων του Internet Explorer ενώ βρίσκεστε στη σελίδα και μετά πατήστε το πλήκτρο Enter.

Η ιστοσελίδα θα παρεμποδίσει τη διαδικασία φόρτωσης, και θα εμφανίσει αυτό που πληκτρολογήσατε.

Δείτε και το demo video



πηγή

Δεν υπάρχουν σχόλια:

Δημοσίευση σχολίου