CVE-2018-4277:一 丿引发的欺骗

访客4年前黑客资讯944

研究人员在寻找浏览器前端安全问题时发现Chrome, Safari, Firefox等浏览器中都存在安全漏洞。本文介绍苹果产品字母d字形问题造成的域名欺骗问题。
U+A771
研究人员发现苹果产品中的拉丁小写字母dum(U+A771)和拉丁小写字母d (U+0064)的字形非常相像。从标准的Unicode字形中,可以看到d后面有一撇,但在苹果产品的字形中这一撇被忽略了。


注册icloud.com
然后,研究人员注册了一个真实的域名,以进行IDN欺骗。Verisign的IDN注册规则是不允许混合的Unicode脚本注册。如果IDN含有2个及以上的Unicode脚本,注册就会被拒绝。因为(U+A771)属于拉丁语,所以符合域名注册规则,研究人员也成功注册了域名。

然后,研究人员注册了SSL证书来使IDN欺骗看着更加真实和完美。研究人员发现,Chrome / Firefox / Edge浏览器都是使用punycode来显示域名的,但Safari不是。


注: Punycode是一个根据RFC 3492标准而制定的编码系统,主要用于把域名从地方语言所采用的Unicode编码转换成为可用于DNS系统的编码。Punycode可以防止所谓的IDN欺骗。
测试结果
研究人员测试发现整个欺骗过程是完全可行的,所以攻击者可以欺骗所有含有字母d的域名。在Google Top 10K的域名中,大约有25%的含有字母d的域名可以被成功欺骗。包括:
• linkedin.com• baidu.com• jd.com• adobe.com• wordpress.com• dropbox.com• godaddy.com• reddit.com• …………
POC视频
http://xn--iclou-rl3s.com/CVE-2018-4277.mov
Apple补丁


标签: 好话题

相关文章

农村干什么能挣钱啊,用手机在家农村干什么能挣钱_快速

1.小企业赚钱目前,虽然关于微商有很多争议,但微商项目仍然是一个非常有利可图的项目。微商已经从“旧的微商”转变为“新的微商”。旧衍生品指的是以前的囤积和代理赚钱。新的微型企业指的是目前主要通过零售赚钱...

黑客教你3分钟盗微信号 最简单偷微信密码

黑客教你偷微信的账户3分钟,偷微信密码最容易的就是偷钱; 黑客教你3分钟盗微信号 最简单偷微信密码  1.问你的朋友一个问题:"你住在哪里?朋友们可以给出各种各样的答案,但在追求和总结时,可能只有...

开的房间第二天几点退_开的房记录保存多久在派出所

开的房间第二天几点退_开的房记录保存多久在派出所 11月24日消息 近日,@平安绵阳 发布检举“酒托”诈骗犯罪团伙在逃人员的通告,其中曝光了7名嫌疑人姓名及照片,希望广大人民群众主动发现和举报在逃犯...

监控老婆的手机的方法_监控老婆的位置的方法

监控老婆的手机的方法_监控老婆的位置的方法 WordPress一个非常流行的插件WP GDPR Compliance 被发现存在权限提升漏洞,该插件的安装量大约为10万。漏洞允许未授权的攻击者进行权...

网上查开放房软件app和谁开过房都能查的出来吗?

 非常靠谱!QQ和微信做为腾讯旗下的产品,彻底改变了大家的沟通方式,以前大家都是面对面交流的,但是自从互联网出现之后,足不出户就能实现面对面交流的真实感。一开始国内使用QQ的用户还是很多的,但是随...

如何能够破译他人的微信密码,最新技术

 微信是新一代的产物。在很多人眼里,它不仅仅说是简简单单的用来和别人聊天的一款工具,更多的原因是它可以用来交友可以用来支付,它的出现改变了我们传统意义上的聊天模式。而且很多人发现,只要挂一个微信就可以...