Firefox“Basic Realm”基础认证头欺骗漏洞

上一篇 / 下一篇  2008-01-10 12:16:00 / 个人分类:专业有道

查看( 18 ) / 评论( 0 ) / 评分( 0 / 0 )
 

发布日期:2008-01-02

更新日期:2008-01-07

受影响系统:

Mozilla Firefox 2.0.0.11

描述:

BUGTRAQ ID: 27111

Firefox是一款开源的WEB浏览器。

Firefox会在所访问的Web服务器返回401状态代码时显示认证对话和WWW-Authenticate头。如果要指定基础认证,WWW-Authenticate头必须设置了[Basic realm="XXX"]值,然后会在认证对话窗口中显示Realm的值(也就是XXX)。

尽管Firefox不会显示双引号(")后WWW-Authenticate头Realm值中的字符,但没有过滤单引号(´)和空格,因此攻击者就可以创建特制的Realm值,使认证对话看起来好像来自于可信任的站点,这样就可以执行网络钓鱼攻击。

Mozilla:目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:http://www.mozilla.org/


导入论坛 引用链接 收藏 分享给好友 管理 举报

TAG:

 

评分:0

我来说两句

显示全部

:loveliness: :handshake :victory: :funk: :time: :kiss: :call: :hug: :lol :'( :Q :L ;P :$ :P :o :@ :D :( :)

Open Toolbar