当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-037118

漏洞标题:高级别伪装网址:在QQ、微信、旺旺等聊天框里插入类似<a href="“>的跳转链接

相关厂商:腾讯

漏洞作者: 大仙

提交时间:2013-09-14 14:13

修复时间:2013-10-29 14:13

公开时间:2013-10-29 14:13

漏洞类型:钓鱼欺诈信息

危害等级:中

自评Rank:6

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-09-14: 细节已通知厂商并且等待厂商处理中
2013-09-17: 厂商已经确认,细节仅向厂商公开
2013-09-27: 细节向核心白帽子及相关领域专家公开
2013-10-07: 细节向普通白帽子公开
2013-10-17: 细节向实习白帽子公开
2013-10-29: 细节向公众公开

简要描述:

在QQ,微信,旺旺等聊天工具发送伪装网址,用户看到的比如是www.taobao.com,打开并不淘宝网
就像在IM工具里发送<a href="http://www.baidu.com">http://www.taobao.com</a>效果
欺骗度较高,适用全网IM,出门钓鱼必备良方~

详细说明:

一直想在聊天框里加入点代码,<a href="">什么的,当然,这基本上没戏,我找到一种同样能达到跳转的办法,就是利用特殊字符显示问题,用希腊、俄语字母输入,会显示成正常的英文,win7、xp通过。
我找到能利用的字母有ΑΒΕΖΗΚΜΙΝΡΤΧАВЕеКМНОРСТусроХх,这些在网页里能显示出和英文字母的区别,而放到聊天框里就会和正常英文字母一样,达到欺骗效果。
打开掺杂俄文字母的网址(www.taоbao.com),浏览器会自动识别为:www.xn--tabao-kye.com

QQ图片20130914123524.jpg


而www.xn--tabao-kye.com,到万网查询,是可以注册的

2.jpg


利用1:
注册之后,可以在www.xn--tabao-kye.com里加入跳转代码,跳回淘宝官方网址,利用中间跳转的几秒做文章,用户只会感觉打开稍慢,并不会有其他疑问,同时可以跳出个弹窗,让提交个账号密码啥的。
利用2:
哥们也有2位数的域名了。。(1位的都被霸占了)
针对QQ,可以进一步优化(适用于其他监测,估计很难~没试)

QQ图片20130914124652.jpg

漏洞证明:

QQ图片20130914131646.jpg

修复方案:

对特殊字符进行显示

版权声明:转载请注明来源 大仙@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2013-09-17 14:07

厂商回复:

感谢反馈,此问题正在跟进中

最新状态:

暂无