研究人员在寻找浏览器前端安全问题时发现Chrome, Safari, Firefox等浏览器中都存在安全漏洞。本文介绍苹果产品字母d字形问题造成的域名欺骗问题。
U+A771
研究人员发现苹果产品中的拉丁小写字母dum(U+A771)和拉丁小写字母d (U+0064)的字形非常相像。从标准的Unicode字形中,可以看到d后面有一撇,但在苹果产品的字形中这一撇被忽略了。
注册icloud.com
然后,研究人员注册了一个真实的域名,以进行IDN欺骗。Verisign的IDN注册规则是不允许混合的Unicode脚本注册。如果IDN含有2个及以上的Unicode脚本,注册就会被拒绝。因为(U+A771)属于拉丁语,所以符合域名注册规则,研究人员也成功注册了域名。
然后,研究人员注册了SSL证书来使IDN欺骗看着更加真实和完美。研究人员发现,Chrome / Firefox / Edge浏览器都是使用punycode来显示域名的,但Safari不是。
注: Punycode是一个根据RFC 3492标准而制定的编码系统,主要用于把域名从地方语言所采用的Unicode编码转换成为可用于DNS系统的编码。Punycode可以防止所谓的IDN欺骗。
测试结果
研究人员测试发现整个欺骗过程是完全可行的,所以攻击者可以欺骗所有含有字母d的域名。在Google Top 10K的域名中,大约有25%的含有字母d的域名可以被成功欺骗。包括:
• linkedin.com• baidu.com• jd.com• adobe.com• wordpress.com• dropbox.com• godaddy.com• reddit.com• …………
POC视频
http://xn--iclou-rl3s.com/CVE-2018-4277.mov
Apple补丁
信息时代的快速发展,使得互联网成为我们当今社会不可或缺的一部分。而随之到来的就是一系列的黑客技术,我们管这群人叫黑客,他们具有特别隐蔽的日常,总是很迷幻,网上联系黑客,而且是24小时在线接单的黑客是否...
从网上得知,全国人大代表李翠枝提出建议,将“一生饮奶计划”纳入国家战略,实现学生饮用奶从幼儿园到高中的全覆盖,同时建议将跨境电商税率与一般贸易税率等同,将婴幼儿配方奶粉从跨境电商清单中剔除。 可以看出...
怎么同步老婆微信聊天记录不被发现?(监控老婆手机不被发现的软件),跟着科学技术的开展,窃听多部手机的大概性越来越大。这让许多人质疑,我的微信谈天纪录是不是被他人窃取了?究竟上,这是不需要思量的。若你不...
监控老婆手机不被发现_监控老婆手机软件 新华社深圳2月6日电(记者周科)记者6日从深圳市公安局龙岗分局获悉,当地警方日前打掉一个披着传媒公司外衣,却以提供足彩“内幕消息”实施诈骗的团伙。初步查明,受...
如何让别人恢复不了微信聊天记录」让对让微信记录删除-免费接单 在黑客从104,000人窃取数据后,美国国内税务局(IRS)被迫暂停其Get Transcript在线数据服务。该机构表示,由经验丰富的...
怎么看别人的手机微信聊天记录呢?现在,微聊天是日常生活的交流工具,因为它包含隐私,所以是加密的。如果想看周围某人的聊天记录该怎么办?然后,如果他删除了聊天记录该怎么办呢?应该怎么查呢?之后,可以用下面...