当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-037118

漏洞标题:高级别伪装网址:在QQ、微信、旺旺等聊天框里插入类似<a href="“>的跳转链接

相关厂商:腾讯

漏洞作者: 大仙

提交时间:2013-09-14 14:13

修复时间:2013-10-29 14:13

公开时间:2013-10-29 14:13

漏洞类型:钓鱼欺诈信息

危害等级:中

自评Rank:6

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-09-14: 细节已通知厂商并且等待厂商处理中
2013-09-17: 厂商已经确认,细节仅向厂商公开
2013-09-27: 细节向核心白帽子及相关领域专家公开
2013-10-07: 细节向普通白帽子公开
2013-10-17: 细节向实习白帽子公开
2013-10-29: 细节向公众公开

简要描述:

在QQ,微信,旺旺等聊天工具发送伪装网址,用户看到的比如是www.taobao.com,打开并不淘宝网
就像在IM工具里发送<a href="http://www.baidu.com">http://www.taobao.com</a>效果
欺骗度较高,适用全网IM,出门钓鱼必备良方~

详细说明:

一直想在聊天框里加入点代码,<a href="">什么的,当然,这基本上没戏,我找到一种同样能达到跳转的办法,就是利用特殊字符显示问题,用希腊、俄语字母输入,会显示成正常的英文,win7、xp通过。
我找到能利用的字母有ΑΒΕΖΗΚΜΙΝΡΤΧАВЕеКМНОРСТусроХх,这些在网页里能显示出和英文字母的区别,而放到聊天框里就会和正常英文字母一样,达到欺骗效果。
打开掺杂俄文字母的网址(www.taоbao.com),浏览器会自动识别为:www.xn--tabao-kye.com

QQ图片20130914123524.jpg


而www.xn--tabao-kye.com,到万网查询,是可以注册的

2.jpg


利用1:
注册之后,可以在www.xn--tabao-kye.com里加入跳转代码,跳回淘宝官方网址,利用中间跳转的几秒做文章,用户只会感觉打开稍慢,并不会有其他疑问,同时可以跳出个弹窗,让提交个账号密码啥的。
利用2:
哥们也有2位数的域名了。。(1位的都被霸占了)
针对QQ,可以进一步优化(适用于其他监测,估计很难~没试)

QQ图片20130914124652.jpg

漏洞证明:

QQ图片20130914131646.jpg

修复方案:

对特殊字符进行显示

版权声明:转载请注明来源 大仙@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2013-09-17 14:07

厂商回复:

感谢反馈,此问题正在跟进中

最新状态:

暂无


漏洞评价:

评论

  1. 2013-09-14 14:45 | p.z 认证白帽子 ( 普通白帽子 | Rank:411 漏洞数:40 )

    哦?我猜是编码的问题.

  2. 2013-09-14 14:58 | 园长 ( 普通白帽子 | Rank:134 漏洞数:14 | 你在身边就是缘,缘分写在数据库里面。)

    关注

  3. 2013-09-14 15:08 | 猪猪侠 认证白帽子 ( 核心白帽子 | Rank:3224 漏洞数:254 | 你都有那么多超级棒棒糖了,还要自由干吗?)

    我猜也是编码问题的域名。

  4. 2013-09-14 16:33 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @p.z 我之前收到过微信的系统消息,在预览的时候 我发现是<a href="http://www.xxx.com">aaa</a>的效果,点击进去发现是编码了的结果。然后我用别人手机给我发微信消息,发现并不能执行编码。。。看来我没测试成功的东西,洞主成功了啊!

  5. 2013-09-14 17:09 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @p.z 我之前收到过微信的系统消息,在预览的时候 我发现是<a href="http://www.xxx.com">aaa</a>的效果,点击进去发现是编码了的结果。然后我用别人手机给我发微信消息,发现并不能执行编码。。。看来我没测试成功的东西,洞主成功了啊!

  6. 2013-09-14 17:11 | 围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)

    马克

  7. 2013-09-14 17:15 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @鬼魅羊羔 擦,别学我。。

  8. 2013-09-14 21:35 | DragonEgg ( 实习白帽子 | Rank:75 漏洞数:18 | 冷漠无情的绅士,温柔善良的坏蛋。)

    坐等结果。顺便看情况坐等TSRC给我一个解释

  9. 2013-09-15 00:16 | 疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)

    @p.z 我之前收到过微信的系统消息,在预览的时候 我发现是<a href="http://www.xxx.com">aaa</a>的效果,点击进去发现是编码了的结果。然后我用别人手机给我发微信消息,发现并不能执行编码。。。看来我没测试成功的东西,洞主成功了啊!

  10. 2013-09-15 14:22 | Kogusu、 ( 路人 | Rank:4 漏洞数:2 | 我是打酱油的~~~)

    我试了,不行啊

  11. 2013-09-15 15:45 | 艾特绅 ( 路人 | Rank:21 漏洞数:5 | 愿意为网络安全做出我的贡献)

    马克

  12. 2013-09-16 23:38 | 金属狂人 ( 路人 | Rank:0 漏洞数:1 | 这个人很懒,什么都没留下。)

    流弊

  13. 2013-09-17 14:36 | anyis ( 路人 | Rank:17 漏洞数:3 | 教主、八进制时代的产物。)

    楼主应该提给支付宝Rank感觉高点.

  14. 2013-09-17 14:39 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @anyis 你领悟了

  15. 2013-10-29 14:32 | mramydnei ( 普通白帽子 | Rank:348 漏洞数:80 )

    Homoglyph Attack 有在线转换工具 http://www.irongeek.com/homoglyph-attack-generator.php不用你费心去fuzz