我要评论当初软件开发是基于ie6的内核系统的。
现今ie6早就已经更新
现在在ie6中打开http://www.baidu.com@jb51.net回显“语法错误”信息
过滤了"@"字符
但是现在搜狗、360、遨游还有世纪之窗等浏览器均不出现回显错误
而是直接跳转至地址
假设某论坛支持html代码
则发帖内容为:<a href="https://mybank.icbc.com.cn/icbc/perbank/regtip.jsp@www.sina.com.cn/">http://www.icbc.com.cn/</a>
那么如果用户使用的是上述几个浏览器之一,看到的信息是http://www.icbc.com.cn
但是点击进入的实际地址却是www.sina.com(如果是钓鱼地址呢……)
漏洞证明:
假设某论坛支持html代码
则发帖内容为:<a href="https://mybank.icbc.com.cn/icbc/perbank/regtip.jsp@www.sina.com.cn/">http://www.icbc.com.cn/</a>
那么如果用户使用的是上述几个浏览器之一,看到的信息是http://www.icbc.com.cn
但是点击进入的实际地址却是www.sina.com(如果是钓鱼地址呢……)
修复方案:
直接过滤掉。
如您对本文有疑问或者有任何想说的,请点击进行留言回复,万千网友为您解惑!
网友评论