首页 网页制作网络编程脚本专栏数据库网站运营网络安全平面设计CMS教程

IE 存在document.open()方式地址欺骗漏洞

所属分类: 网络安全 / 漏洞分析 阅读数: 144
收藏 0 赞 0 分享
受影响系统:

Microsoft Internet Explorer 7.0

Microsoft Internet Explorer 6.0 SP1

Microsoft Internet Explorer 6.0

Microsoft Internet Explorer 5.0.1 SP4

描述:

--------------------------------------------------------------------------------

BUGTRAQ ID: 24911

CVE(CAN) ID: CVE-2007-3826

Internet Explorer是微软发布的非常流行的WEB浏览器。

IE的document.open()方式实现机制上存在漏洞,远程攻击者可能利用此漏洞进行地址欺骗攻击。

IE没有正确地调用document.open()方式,如果用户在地址栏中手动输入了URL并在调用onBeforeUnload之前反复地调用了这个函数,就会导致页面无法跳转过去,但地址栏中显示的是目标URL栏,因此用户可能误以为正在访问其他的站点,这有助于钓鱼类的攻击。

<*来源:Michal Zalewski (lcamtuf@echelon.pl)

链接:http://secunia.com/advisories/26069/

http://lists.grok.org.uk/pipermail/full-disclosure/2007-July/064636.html

http://www.microsoft.com/technet/security/Bulletin/MS07-057.mspx?pf=true

http://www.us-cert.gov/cas/techalerts/TA07-282A.html

*>

建议:

--------------------------------------------------------------------------------

厂商补丁:

Microsoft

---------

Microsoft已经为此发布了一个安全公告(MS07-057)以及相应补丁:

MS07-057:Cumulative Security Update for Internet Explorer (939653)

链接:http://www.microsoft.com/technet/security/Bulletin/MS07-057.mspx?pf=true
更多精彩内容其他人还在看

织梦管理系统后台查找

  有时在通过注射得到织梦程序的管理密码时,却发现找不到后台地址。。   这个时候 大家可以尝试下在地址后面加上:/include/dialog/select_media.php?f=form1.murl   但不一定通杀。。  
收藏 0 赞 0 分享

ckeditor/DesignCms上传漏洞

  今天日站发现的....   http://www.xxx.net/manage/Modle/UploadFile/ListFiles.aspx 上传洞洞   上传后没改文件名!可以IIS解析   后面的事,你懂的~   有点像FCK ...   我晕了...这程式漏洞真多  
收藏 0 赞 0 分享

DedeCmsV5.6 本地包含又一利用方式

  续本地包含   include/arc.datalist.class.php   $codefile = (isset($needCode) ? $needCode : $cfg_soft_lang);   if(file_exists(DEDEINC.'/code/data
收藏 0 赞 0 分享

phpcms V9 BLind SQL 注入漏洞0day

  影响版本:phpcms v9 blind  phpcms v9 blind 参数过滤存在SQL注入漏洞。
收藏 0 赞 0 分享

AWBS 2.9.2 Blind SQL 注入0day

AWBS 2.9.2 Blind SQL 注入0day,大家可以参考下。
收藏 0 赞 0 分享

金山毒霸多个sql注入及XSS漏洞和修复

金山毒霸多个sql注入及XSS漏洞和修复,需要的朋友可以参考下。
收藏 0 赞 0 分享

Zblog最新跨站漏洞及利用代码

Js里可以写shell,添加用户,偷取COOKIE然后模拟出真正的转向
收藏 0 赞 0 分享

xyxcms v1.3 小游戏CMS 漏洞说明

国内最专业的ASP网站内容管理系统-小游戏管理系统,他将是您轻松建站的首选利器。挺好的一个系统,就是有点小问题,大家可以修改下。
收藏 0 赞 0 分享

Discuz X1.5 用不到 Gmail SSL SMTP

前天 16:50 上传 下载附件 (34.22 KB) ,窃听器哪里有卖 设置如上,车辆跟踪器,登入 username 及 password 都再三确认 但用「检测」就弹出以下错误 前天 16:50 上传 下载附件 (12.73 KB) 请问
收藏 0 赞 0 分享

万能密码漏洞以及修复

  万能密码漏洞以及修复   记得几年前要入侵一个企业网站超级简单   一般只需要找到后台 还有后台通常是www.xxx.com/admin/   然后账号 密码都是'or'='or' 就进去   现在好像有几个也可以用 但是已经没那么普及了   如果网站还出现这种“
收藏 0 赞 0 分享
查看更多

网络赚钱

更多

站长故事

更多
建站极客
合作伙伴
在线工具
建站极客移动版
聚合全网技术文章,根据你的阅读喜好进行个性推荐
© 2012 - 2020 www.zhanzhang360.cn Some Rights Reserved.
沪ICP备13040166号-22