刚学的小把戏，黑掉了几个大网站，呵呵

pp911 · 发表于 2004-1-2 01:50:59

看一下，嘿嘿，小把戏而已

新浪www.sina.com.cn
搜狐www.sohu.com

webleon · 发表于 2004-1-2 02:05:48

晕，这也算？

pp911 · 发表于 2004-1-2 02:09:36

嘿嘿，要么说是小把戏嘛。
从浏览器地址栏上看，是新浪的地址，但是内容却不是，哈哈，刚看到的IE的漏洞而已。
要不斑竹也来一个玩玩……

独行侠 · 发表于 2004-1-2 02:33:49

呵呵，这个早有了。。

pp911 · 发表于 2004-1-2 02:41:57

嘿嘿，俺才学到的嘛

dunkelblau · 发表于 2004-1-2 20:31:15

是什么意思呢？
看链接好像就是所说的网址啊？
什么漏洞呢？到底简单好学么？

dickywoo · 发表于 2004-1-2 22:59:06

大千世界。无奇不有啊！！！

阿空 · 发表于 2004-1-3 01:15:18

后边是一串什么字符啊？

chunliang · 发表于 2004-1-3 03:52:34

最初由阿空发表
[B]后边是一串什么字符啊？ [/B]

后面一串是经过URL编码的实际链接目标地址

，也可直接写未经编码的地址。

z.B.

<a href="http://www.microsoft.com%00@www.yoursite.com/yourpage.htm" >www.microsoft.com</a>

其中www.yoursite.com/yourpage.htm 为实际目标地址。

pp911 · 发表于 2004-1-3 04:04:07

　　微软12月9日表示，其正在调查有关IE浏览器当中存在的一个潜在缺陷有可能帮助恶意黑客创建以假乱真的虚假网站的报告。据丹麦Secunia安全公司称，上述缺陷有可能使得黑客使用一种技术在假冒的网站上显示虚假的网站地址并进行诈骗活动。

　　Secunia已经在其安全清单上对上述缺陷发布了预警，并演示了黑客会如何利用这一缺陷的过程，该公司表示，已于12月9日将此事通知了微软。

　　恶意黑客经常会吸引网络用户登录表面看来很逼真、诸如eBay等电子商务网站，但实际上用户却被骗提供财务和其他保密的信息，这一诈骗方法据信是如今在线信用卡和身份盗窃活动当中的一个核心手段。Secunia表示，IE的上述缺陷将使得一个虚假的网站可以看起来象是一个真正存在的合法网站。

　　与此同时，微软发表声明称：“我们正在调查有关IE中可能存在缺陷的新报告，我们还没有意识到有任何黑客正在试图利用这一缺陷，也没有收到用户受到影响的报告，但我们正在积极调查此事。”微软并未针对这次调查制定时间表，但表示最终可能会发布一个补丁程序来解决缺陷问题。微软还建议用户依照基本的安全程序操作，包括使用防火墙、升级系统以及安装杀毒软件等。

　　此外，微软还指责Secunia不应该过早公开上述缺陷，暗示这样做使得微软没有足够的时间来发布补丁程序。上述声明称：“微软担心有关IE缺陷的报告是在不负责任的前提下公开的，这有可能导致计算机用户面临安全威胁。我们认为直接向微软报告缺陷这种通常的做法符合大家的利益，这样做可以帮助确保用户在及时得到全面、高质量的补丁程序之前他们的保密信息不会曝露给恶意黑客。”

　　对于微软的指责，Secunia尚未发表评论。但Secunia指现，IE的缺陷基于一种“输入确认错误”，这一错误使得某种字符序列可以掩盖真正的网站地址而代之以虚假的网址。Secunia建议用户使用代理服务器或是安装防火墙以便将上述字符序列过滤出网络地址，并敦促用户不要“打开来自不值得信任的来源的链接”。

pp911 · 发表于 2004-1-3 04:05:07

　　当地时间上周六（12月20日），在第一款开放源代码的IE补丁软件被发现包含缓冲区溢出缺陷后，Openwares.org被迫重新发布了这款补丁软件。这一缓冲区溢出缺陷型缺陷的危害性远大于它要修正的缺陷。

　　据Openwares称，只有约6500名用户下载了原来的补丁软件。安全专家在上周已经警告人们不要安装该补丁软件。除了信任问题外，该补丁软件的作者不能使用IE的源代码，可能与未来的微软公司产品发生冲突。

　　IE中的缺陷能够使其地址栏显示任意的地址，使黑客欺骗用户。Openwares的第一款补丁软件过滤了任何包含可疑字符的URL，但只有在地址长度少于256个字符时才有效，更长的地址会导致缓冲区溢出缺陷缺陷。

　　Openwares的管理人员称，新版补丁软件进行了重写，并由数十名用户帮助进行了测试。如果还不相信，用户可以自己看其源代码。截止周一上午早些时候，约有2500名用户下载了新的补丁软件。

　　微软公司还没有发布针对这一缺陷的补丁软件，也没有透露会在何时发布补丁软件的口风。10月份，微软公司采取了每月发布一次补丁软件的策略，但它在12月份表示将不发布补丁软件，也许这一问题要等到1月中旬才能够被修复。12月初，也就是在这一问题被发现数周后，微软公司的一名安全经理伊恩表示，微软公司的重点是提高补丁软件的质量，这会对发布时间产生影响。

　　通常情况下，用1、2个月的时间开发补丁软件不会引起广泛注意，因为安全缺陷在公开前通常会被首先通报给微软公司。这次，微软公司没有获得安全研究人员的提前通报，使得它不能及时地开发出相应的补丁软件。

nikko · 发表于 2004-1-3 07:42:27

呵呵，慢慢玩，虽然有点无聊

frankword · 发表于 2004-1-3 12:43:44

我平时登录网站都是自己输入地址的.估计不会被骗.
建议大家也小心点.
小心驶得万年船

		自动登录	找回密码
密码			立即注册

刚学的小把戏，黑掉了几个大网站，呵呵

一点也不明白……

IE有潜在缺陷黑客可建虚假网站进行诈骗

开放源码IE补丁软件有缺陷被迫重新发布

浏览过的版块

刚学的小把戏，黑掉了几个大网站，呵呵

一点也不明白……

IE有潜在缺陷 黑客可建虚假网站进行诈骗

开放源码IE补丁软件有缺陷 被迫重新发布

浏览过的版块

IE有潜在缺陷黑客可建虚假网站进行诈骗

开放源码IE补丁软件有缺陷被迫重新发布