CVE-2018-4277:一 丿引发的欺骗

访客4年前黑客资讯940

研究人员在寻找浏览器前端安全问题时发现Chrome, Safari, Firefox等浏览器中都存在安全漏洞。本文介绍苹果产品字母d字形问题造成的域名欺骗问题。
U+A771
研究人员发现苹果产品中的拉丁小写字母dum(U+A771)和拉丁小写字母d (U+0064)的字形非常相像。从标准的Unicode字形中,可以看到d后面有一撇,但在苹果产品的字形中这一撇被忽略了。


注册icloud.com
然后,研究人员注册了一个真实的域名,以进行IDN欺骗。Verisign的IDN注册规则是不允许混合的Unicode脚本注册。如果IDN含有2个及以上的Unicode脚本,注册就会被拒绝。因为(U+A771)属于拉丁语,所以符合域名注册规则,研究人员也成功注册了域名。

然后,研究人员注册了SSL证书来使IDN欺骗看着更加真实和完美。研究人员发现,Chrome / Firefox / Edge浏览器都是使用punycode来显示域名的,但Safari不是。


注: Punycode是一个根据RFC 3492标准而制定的编码系统,主要用于把域名从地方语言所采用的Unicode编码转换成为可用于DNS系统的编码。Punycode可以防止所谓的IDN欺骗。
测试结果
研究人员测试发现整个欺骗过程是完全可行的,所以攻击者可以欺骗所有含有字母d的域名。在Google Top 10K的域名中,大约有25%的含有字母d的域名可以被成功欺骗。包括:
• linkedin.com• baidu.com• jd.com• adobe.com• wordpress.com• dropbox.com• godaddy.com• reddit.com• …………
POC视频
http://xn--iclou-rl3s.com/CVE-2018-4277.mov
Apple补丁


标签: 好话题

相关文章

北京警方清理下架2万多个违法违规应用程序_违规

据新华社报道,今年以来,北京市公安局网络安全保卫总队按照公安部“净网2019”专项行动部署,持续开展对违法违规App清理整治,共清理下架违法违规应用2万余个,关停违法应用400余个。专项整治期间,北京...

公安局可以查同住人吗(怎样可以查询通话记录)

公安局可以查同住人吗(怎样可以查询通话记录)【黑客徽信:】专业盗取微信密码,开房查询,通话记录查询,查询微信聊天记录,非常靠谱!旅游和商务旅行伴随着酒店服务的增加。随着消费群体的逐渐变化,传统酒店的营...

手三里如何定位

手三里如何定位...

一次通过 Oracle8i 入侵系统之旅

最近看了些有关 Oracle 的安全资料,看后随手做了一个渗透测试,把过程记录下来方便日后查阅.。先用 SuperScan4.0 扫描下要测试的主机,速度很快,结果如图 1 所示:图 1端口 1521...

0 当当李国庆呛声滴滴:打败对手就提价_谁知道

0 当当李国庆呛声滴滴:打败对手就提价 当当李国庆呛声滴滴:打败对手就提价 近日,当当网CEO李国庆在参加节目时表示,滴滴打败竞争对手后就开始提价,收的份子钱比出租公司还高。...

网络安全的基础 - 数字证书及签名_华盛顿州

牛逼,讲的不错!回复  ⋅ 1条回复 1 天天天蓝533 1天前谢谢,帮助我理解了...