forum.opennet.ru

Составление сообщения

Исходное сообщение

"Новый метод фишинга с использованием unicode-символов в домене"
Отправлено opennews, 17-Апр-17 22:41

Китайский исследователь Чжэн Сюдун (Xudong Zheng) опубликовал (https://www.xudongz.com/blog/2017/idn-phishing/) новый метод для проведения фишинг-атак, позволяющих организовать работу подставных сайтов, притворяющихся известными доменами. Метод работает в актуальных версиях Chrome, Firefox и Opera. Проблеме не подвержены Edge, IE, Safari, Vivaldi и Brave.

Атака основана на возможности указания unicode-символов в домене, но отличается от давно известных атак, которые манипулируют интернационализированными доменами. Классическая подмена через внешне сходный IDN-домен успешно блокируется в браузерах путём запрета смешивания символов из разных алфавитов. Например, подставной домен аpple.com не получится создать путём замены латинской "a" на кириллическую "а" ("xn--pple-43d.com"), так как смешивание в домене букв из разных алфавитов не допускается.
Для обхода подобной защиты оказалось достаточно зарегистрировать домен, который состоит только из unicode-символов. Для демонстрации метода зарегистрирован домен аррӏе.com, который не имеет отношения к компании Apple и отличается от домена apple.com использованием символа "ӏ", похожего по начертанию на "l", что делает его неотличимым в адресной строке.

При этом в имя домена задаётся только через Unicode-символы (xn--80ak6aa92e.com), используя наборы Unicode-символов для языков, основанных на латинице (базовые латинские символы + несколько расширенных букв). Так как все символы в таком домене относятся к набору для одного языка, защита от смешивания не срабатывает. Далее для такого домена удалось получить SSL-сертификат, что позволило создать иллюзию использования защищённого соединения к аррӏе.com.

Исправление с устранением уязвимости уже включено в кодовую базу Chromium и войдёт в состав выпуска Chrome 58. Для Firefox исправление пока находится в процессе разработки, для блокирования уязвимости предлагается отключить поддержку Punycode (в about:config network.IDN_show_punycode = true)

URL: https://www.xudongz.com/blog/2017/idn-phishing/
Новость: http://www.opennet.ru/opennews/art.shtml?num=46394

Исходное сообщение
"Новый метод фишинга с использованием unicode-символов в домене" Отправлено opennews, 17-Апр-17 22:41
Китайский исследователь Чжэн Сюдун (Xudong Zheng) опубликовал (https://www.xudongz.com/blog/2017/idn-phishing/) новый метод для проведения фишинг-атак, позволяющих организовать работу подставных сайтов, притворяющихся известными доменами. Метод работает в актуальных версиях Chrome, Firefox и Opera. Проблеме не подвержены Edge, IE, Safari, Vivaldi и Brave. Атака основана на возможности указания unicode-символов в домене, но отличается от давно известных атак, которые манипулируют интернационализированными доменами. Классическая подмена через внешне сходный IDN-домен успешно блокируется в браузерах путём запрета смешивания символов из разных алфавитов. Например, подставной домен аpple.com не получится создать путём замены латинской "a" на кириллическую "а" ("xn--pple-43d.com"), так как смешивание в домене букв из разных алфавитов не допускается. Для обхода подобной защиты оказалось достаточно зарегистрировать домен, который состоит только из unicode-символов. Для демонстрации метода зарегистрирован домен аррӏе.com, который не имеет отношения к компании Apple и отличается от домена apple.com использованием символа "ӏ", похожего по начертанию на "l", что делает его неотличимым в адресной строке. При этом в имя домена задаётся только через Unicode-символы (xn--80ak6aa92e.com), используя наборы Unicode-символов для языков, основанных на латинице (базовые латинские символы + несколько расширенных букв). Так как все символы в таком домене относятся к набору для одного языка, защита от смешивания не срабатывает. Далее для такого домена удалось получить SSL-сертификат, что позволило создать иллюзию использования защищённого соединения к аррӏе.com. Исправление с устранением уязвимости уже включено в кодовую базу Chromium и войдёт в состав выпуска Chrome 58. Для Firefox исправление пока находится в процессе разработки, для блокирования уязвимости предлагается отключить поддержку Punycode (в about:config network.IDN_show_punycode = true) URL: https://www.xudongz.com/blog/2017/idn-phishing/ Новость: http://www.opennet.ru/opennews/art.shtml?num=46394

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Китайский исследователь Чжэн Сюдун (Xudong Zheng) опубликовал (https://www.xudongz.com/blog/2017/idn-phishing/) 
> новый метод для проведения фишинг-атак, позволяющих организовать работу подставных сайтов, 
> притворяющихся известными доменами. Метод работает в актуальных версиях Chrome, Firefox 
> и Opera. Проблеме не подвержены Edge, IE, Safari, Vivaldi и Brave.

> Атака основана на возможности указания unicode-символов в домене, но отличается от давно 
> известных атак, которые манипулируют интернационализированными доменами. Классическая 
> подмена через внешне сходный IDN-домен успешно блокируется в браузерах путём запрета 
>  смешивания символов из разных алфавитов. Например, подставной домен аpple.com не 
> получится создать путём замены латинской "a" на кириллическую "а" ("xn--pple-43d.com"), 
> так как смешивание в домене букв из разных алфавитов не допускается.

> Для обхода подобной защиты оказалось достаточно зарегистрировать домен, который состоит 
> только из unicode-символов. Для демонстрации метода зарегистрирован домен аррӏе.com, 
> который не имеет отношения к компании Apple и отличается от домена 
> apple.com использованием символа "ӏ", похожего по начертанию на "l", что делает 
> его неотличимым в адресной строке.

> При этом в имя домена задаётся только через Unicode-символы (xn--80ak6aa92e.com), используя 
> наборы Unicode-символов для языков, основанных на латинице (базовые латинские символы 
> + несколько расширенных букв). Так как все символы в таком домене 
> относятся к набору для одного языка, защита от смешивания не срабатывает. 
> Далее для такого домена удалось получить SSL-сертификат, что позволило создать иллюзию 
> использования защищённого соединения к  аррӏе.com.

> Исправление с устранением уязвимости уже включено в кодовую базу Chromium и войдёт 
> в состав выпуска Chrome 58. Для Firefox исправление пока находится в 
> процессе разработки, для блокирования уязвимости предлагается отключить поддержку Punycode 
> (в about:config network.IDN_show_punycode = true)

> URL: https://www.xudongz.com/blog/2017/idn-phishing/ 
> Новость: http://www.opennet.ru/opennews/art.shtml?num=46394

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру