Une nouvelle faille a été découverte dans Internet Explorer par le site "Zap
The Dingba". Il s'agit d'un problème sur le formatage des urls. Cette faille
offre la possiblilité à un attaquant de subtiliser des informations via un
faux sites.
L'attaquant peut envoyer à la victime une url spécialement formatée avec le
caractère 0x01 avant le signe @. L'utilisateur pense être sur son site.
Hors, il est détourné via un autre site. Le plus simple est de vous montrer
un exemple via ce lien : http://www.google.com%01@www.hackers-news.com.
Il n'existe pas de patch pour le moment. Microsoft a été contacté....
A suivre !
Team HN - http://www.hackers-news.com/viewtopic.php?p=2777#2777
Normal, c'est apparemment le fait d'utiliser la fonction unescape de javascript qui transforme les code %xx en leur caractère d'origine qui rend la vulnérabilité effective.
Pas besoin de javascript, tu peux éditer la page HTML avec un éditeur classique, y mettre un caractère lambda puis dans un second temps ré-éditer la page avec un éditeur hexa pour y changer le contenu de l'octet lambda...
Cordialement,
Laurent
Normal, c'est apparemment le fait d'utiliser la fonction unescape
de javascript qui transforme les code %xx en leur caractère d'origine
qui rend la vulnérabilité effective.
Pas besoin de javascript, tu peux éditer la page HTML avec un éditeur
classique, y mettre un caractère lambda puis dans un second temps ré-éditer
la page avec un éditeur hexa pour y changer le contenu de l'octet lambda...
Normal, c'est apparemment le fait d'utiliser la fonction unescape de javascript qui transforme les code %xx en leur caractère d'origine qui rend la vulnérabilité effective.
Pas besoin de javascript, tu peux éditer la page HTML avec un éditeur classique, y mettre un caractère lambda puis dans un second temps ré-éditer la page avec un éditeur hexa pour y changer le contenu de l'octet lambda...
