IE&Chrome&Firefox Status Bar Spoofing Vulnerability
Posted in Phishing on 四月 15th, 2011 by xisigr –0 Comment Read 916 times#[+]Exploit Title: IE&Chrome&Firefox Status Bar Spoofing Vulnerability
#[+]Date: 17\04\2011
#[+]Author: xisigr
#[+]Version: IE9.0&Chrome all version & Firefox4.0
#[+]Tested On: WIN 7
#[+]CVE: N/A
这个漏洞存在于谷歌浏览器所有版本和火狐浏览器4.0版本以及IE9.0版本中。在这些浏览器中是没有固定状态栏的,只有当你用鼠标放到有链接的控件上时,状态栏才会出现,状态栏中将显示这个链接的地址。那么状态栏使用这样的设计模式,逻辑上就会存在一些错误。攻击者用脚本模拟一个点击控件,当鼠标移动到此控件时,攻击者再使用图片或文本去模拟状态栏模块,此时就达到了状态栏欺骗的效果。当用户点击控件链接,转向的地址并非是状态栏中看到的地址,而转向了一个用户未知的恶意地址。这和传统的状态栏欺骗有所不同,当攻击者可以使用HTML语言去模拟浏览器一个固定模块的时候,欺骗就会发生。感谢hysia对POC的优化&evilcos的讨论。
DEMO: Spoof_statusbar
