به گزارش ترفندستان, به نقل از دولوپه, Rafay Baloch, محقق در امنیت انفورماتیک باگی در مرورگرهای کروم و فایرفاکس کشف کرده که مخربین با استفاده از ان میتوانند تغییراتی در ادرسبار مرورگر بدهند (Address Bar spoofing ) که این روش اغلب برای حملات انکار سرویس استفاده میشود. این باگ در omnibox, نوار جستجوئی که برای پیشنهاداتی در مورد جستجوها است میباشد.
گروه امنیتی گوگل خود میپذیرد که ادرسبار تنها نشانه امنیت یک مرورگر مدرن است و اگر بتواند توسط مخربی کنترل گردد وی میتواند حملاتی انجام دهد و مثلا کاربر را مجبور به دادن اطلاعاتی حساس روی یک سایت مخرب نماید چون وی گمان خواهد که یک سایت مشروع میباشد.
این روش Address Bar spoofing به دلیل اینکه بعضی زبانها چون عربی و عبری از راست به چپ نوشته میشوند و بعضی کاراکترهای یونی کد ان بخوبی پشتیبانی نمیشوند امکان جعل یو ار ال را فراهم میسازند.
Rafay Baloch متوجه شده که قرار دادن کاراکترهائی خنثی چون “/”, “ا” در مسیر فایل باعث وارونه شدن یو ار ال و نمایش ان از راست به چپ میگردد اما برای اینکه spoofing یو ار ال عملی گردد, ادرس باید با یک ادرس ای پی که در پی ان کارکترهائی خنثی قرار دارند باشد چون omnibox ادرس ای پی ها را چون ترکیبی از اعداد و نقاط میداند و چون جهت چپ به راست درست نیست ادرس یو ار ال بطور کامل از راست به چپ میگردد. میتوان با جایگزینی ادرس ای پی با مثلا یکی از حروف الفبا نیز به همین نتیجه دست یافت. بدینگونه مرورگر یو ار ال
را بصورت
نمایش خواهد داد.
گوگل و موزیلا این مشکل را برطرف ساخته اند اما سایرین روی راه حلی برای ان کار میکنند.
و در اخر اینکه Rafay Baloch گفته است که 5000 دلار از گوگل برای اطلاع این اسیب پذیری دریافت کرده است.
این خبر انحصارا برای ترفندستان ترجمه شده و کلیه حقوق مادی و معنوی ان مربوط و متعلق به وب سایت ترفندستان است. کپی این خبر فقط با قید نام ترفندستان مجاز است.
گروه امنیتی گوگل خود میپذیرد که ادرسبار تنها نشانه امنیت یک مرورگر مدرن است و اگر بتواند توسط مخربی کنترل گردد وی میتواند حملاتی انجام دهد و مثلا کاربر را مجبور به دادن اطلاعاتی حساس روی یک سایت مخرب نماید چون وی گمان خواهد که یک سایت مشروع میباشد.
این روش Address Bar spoofing به دلیل اینکه بعضی زبانها چون عربی و عبری از راست به چپ نوشته میشوند و بعضی کاراکترهای یونی کد ان بخوبی پشتیبانی نمیشوند امکان جعل یو ار ال را فراهم میسازند.
Rafay Baloch متوجه شده که قرار دادن کاراکترهائی خنثی چون “/”, “ا” در مسیر فایل باعث وارونه شدن یو ار ال و نمایش ان از راست به چپ میگردد اما برای اینکه spoofing یو ار ال عملی گردد, ادرس باید با یک ادرس ای پی که در پی ان کارکترهائی خنثی قرار دارند باشد چون omnibox ادرس ای پی ها را چون ترکیبی از اعداد و نقاط میداند و چون جهت چپ به راست درست نیست ادرس یو ار ال بطور کامل از راست به چپ میگردد. میتوان با جایگزینی ادرس ای پی با مثلا یکی از حروف الفبا نیز به همین نتیجه دست یافت. بدینگونه مرورگر یو ار ال
کد:
127.0.0.1/ا/http://example.comکد:
http://example.com/127.0.0.1/اگوگل و موزیلا این مشکل را برطرف ساخته اند اما سایرین روی راه حلی برای ان کار میکنند.
و در اخر اینکه Rafay Baloch گفته است که 5000 دلار از گوگل برای اطلاع این اسیب پذیری دریافت کرده است.
این خبر انحصارا برای ترفندستان ترجمه شده و کلیه حقوق مادی و معنوی ان مربوط و متعلق به وب سایت ترفندستان است. کپی این خبر فقط با قید نام ترفندستان مجاز است.