漏洞概要
关注数(24)
关注此漏洞
漏洞标题:高级别伪装网址:在QQ、微信、旺旺等聊天框里插入类似<a href="“>的跳转链接
相关厂商:腾讯
漏洞作者: 大仙
提交时间:2013-09-14 14:13
修复时间:2013-10-29 14:13
公开时间:2013-10-29 14:13
漏洞类型:钓鱼欺诈信息
危害等级:中
自评Rank:6
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2013-09-14: 细节已通知厂商并且等待厂商处理中
2013-09-17: 厂商已经确认,细节仅向厂商公开
2013-09-27: 细节向核心白帽子及相关领域专家公开
2013-10-07: 细节向普通白帽子公开
2013-10-17: 细节向实习白帽子公开
2013-10-29: 细节向公众公开
简要描述:
在QQ,微信,旺旺等聊天工具发送伪装网址,用户看到的比如是www.taobao.com,打开并不淘宝网
就像在IM工具里发送<a href="http://www.baidu.com">http://www.taobao.com</a>效果
欺骗度较高,适用全网IM,出门钓鱼必备良方~
详细说明:
一直想在聊天框里加入点代码,<a href="">什么的,当然,这基本上没戏,我找到一种同样能达到跳转的办法,就是利用特殊字符显示问题,用希腊、俄语字母输入,会显示成正常的英文,win7、xp通过。
我找到能利用的字母有ΑΒΕΖΗΚΜΙΝΡΤΧАВЕеКМНОРСТусроХх,这些在网页里能显示出和英文字母的区别,而放到聊天框里就会和正常英文字母一样,达到欺骗效果。
打开掺杂俄文字母的网址(www.taоbao.com),浏览器会自动识别为:www.xn--tabao-kye.com
而www.xn--tabao-kye.com,到万网查询,是可以注册的
利用1:
注册之后,可以在www.xn--tabao-kye.com里加入跳转代码,跳回淘宝官方网址,利用中间跳转的几秒做文章,用户只会感觉打开稍慢,并不会有其他疑问,同时可以跳出个弹窗,让提交个账号密码啥的。
利用2:
哥们也有2位数的域名了。。(1位的都被霸占了)
针对QQ,可以进一步优化(适用于其他监测,估计很难~没试)
漏洞证明:
修复方案:
版权声明:转载请注明来源 大仙@乌云
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:5
确认时间:2013-09-17 14:07
厂商回复:
感谢反馈,此问题正在跟进中
最新状态:
暂无
漏洞评价:
评论
-
2013-09-14 14:45 |
p.z ( 普通白帽子 | Rank:411 漏洞数:40 )
-
2013-09-14 14:58 |
园长 ( 普通白帽子 | Rank:134 漏洞数:14 | 你在身边就是缘,缘分写在数据库里面。)
-
2013-09-14 15:08 |
猪猪侠 ( 核心白帽子 | Rank:3224 漏洞数:254 | 你都有那么多超级棒棒糖了,还要自由干吗?)
-
2013-09-14 16:33 |
px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)
@p.z 我之前收到过微信的系统消息,在预览的时候 我发现是<a href="http://www.xxx.com">aaa</a>的效果,点击进去发现是编码了的结果。然后我用别人手机给我发微信消息,发现并不能执行编码。。。看来我没测试成功的东西,洞主成功了啊!
-
2013-09-14 17:09 |
鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)
@p.z 我之前收到过微信的系统消息,在预览的时候 我发现是<a href="http://www.xxx.com">aaa</a>的效果,点击进去发现是编码了的结果。然后我用别人手机给我发微信消息,发现并不能执行编码。。。看来我没测试成功的东西,洞主成功了啊!
-
2013-09-14 17:11 |
围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)
-
2013-09-14 17:15 |
px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)
-
2013-09-14 21:35 |
DragonEgg ( 实习白帽子 | Rank:75 漏洞数:18 | 冷漠无情的绅士,温柔善良的坏蛋。)
-
2013-09-15 00:16 |
疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)
@p.z 我之前收到过微信的系统消息,在预览的时候 我发现是<a href="http://www.xxx.com">aaa</a>的效果,点击进去发现是编码了的结果。然后我用别人手机给我发微信消息,发现并不能执行编码。。。看来我没测试成功的东西,洞主成功了啊!
-
2013-09-15 14:22 |
Kogusu、 ( 路人 | Rank:4 漏洞数:2 | 我是打酱油的~~~)
-
2013-09-15 15:45 |
艾特绅 ( 路人 | Rank:21 漏洞数:5 | 愿意为网络安全做出我的贡献)
-
2013-09-16 23:38 |
金属狂人 ( 路人 | Rank:0 漏洞数:1 | 这个人很懒,什么都没留下。)
-
2013-09-17 14:36 |
anyis ( 路人 | Rank:17 漏洞数:3 | 教主、八进制时代的产物。)
-
2013-09-17 14:39 |
xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)
-
2013-10-29 14:32 |
mramydnei ( 普通白帽子 | Rank:348 漏洞数:80 )
Homoglyph Attack 有在线转换工具 http://www.irongeek.com/homoglyph-attack-generator.php不用你费心去fuzz