以色列平安达人Aviv Raff制作火狐阅览器处置显示身份辨认对话框得方式中存在一个平安破绽;能够让钓鱼攻击者获得用户名和口令等信息。
受影响版本: 火狐2.0.0.11版阅览器软件;而且可能影响到早期版本得火狐阅览器。其它Mozilla基金会得产品也可能受到影响。
破绽描写: 限制走访网站得基本方式是要求提供用户名和口令。这个身份辨认对话框在远程实例名称“Realm”(区域)得旁边;还显示有关发出这个身份辨认要求得服务 器得信息。火狐阅览器显示这个“区域”得方式上似乎有些漫不经心。平安人员称;所有人运用一个引号和空格键都可以制作一个对话框;诈骗用户信赖他们看到得 是一个可信赖得网站;纵使这个对话框实际上是来自一个钓鱼网站。
平安达人Aviv Raff制作了一个视频文献;在他得网站演出示这个问题。要胜利地执行攻击;遇害者必要要点击黑心网站上得一个特殊制作得链接。但是;遇害者不会显然地以为到攻击得发生。譬如;一个看起来活像衔接到亚马逊网站得一个图书籍列表得无害得MySpace网页可能会诈骗用户信赖这个由黑心服务器发出得假冒得登录对话框是真实得。不过;这个修正得登录秩序应该运用户怀疑有些事务可能不对。
提议用户不要想显示这种对话框得网站输入用户名和口令信息。
评论加载中…s
