作家
登录

Firefox “Basic Realm”基础认证头欺骗漏洞

作者: 来源: 2012-06-12 21:24:53 阅读 我要评论

【51CTO.com 独家报道】

发布日期:2008-01-02
更新日期:2008-01-07

受影响系统:
Mozilla Firefox 2.0.0.11
描述:

BUGTRAQ  ID: 27111

Firefox是一款开源的WEB浏览器。

Firefox会在所访问的Web服务器返回401状态代码时显示认证对话和WWW-Authenticate头。如果要指定基础认证,WWW-Authenticate头必须设置了[Basic realm="XXX"]值,然后会在认证对话窗口中显示Realm的值(也就是XXX)。

尽管Firefox不会显示双引号(")后WWW-Authenticate头Realm值中的字符,但没有过滤单引号(')和空格,因此攻击者就可以创建特制的Realm值,使认证对话看起来好像来自于可信任的站点,这样就可以执行网络钓鱼攻击。

<*来源:Aviv Raff (avivra@gmail.com)

链接:http://marc.info/?l=bugtraq&m=119937337521330&w=2
*>

建议:

厂商补丁:

Mozilla
-------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.mozilla.org/

【绿盟授权51CTO.COM 独家报道,未经书面许可不得转载!】

【相关文章】

  • 更多漏洞补丁

  推荐阅读

  注意:Google Toolbar对话栏发现欺骗漏洞

发布日期:2007-12-19 更新日期:2007-12-21 受影响系统: Google GoogleToolbar 5 beta Google GoogleToolbar 4 描述: BUGTRAQ ID: 26923 Google Toolbar是安装在浏览器上的搜索工具栏。 Google Toolbar的实现上存>>>详细阅读


本文标题:Firefox “Basic Realm”基础认证头欺骗漏洞

地址:http://www.17bianji.com/anquan/buding/2318.html

关键词: 探索发现

乐购科技部分新闻及文章转载自互联网,供读者交流和学习,若有涉及作者版权等问题请及时与我们联系,以便更正、删除或按规定办理。感谢所有提供资讯的网站,欢迎各类媒体与乐购科技进行文章共享合作。

网友点评
自媒体专栏

评论

热度

精彩导读
栏目ID=71的表不存在(操作类型=0)