Microsoft patcht URL lek door feature uit te zetten
Microsoft heeft plannen bekendgemaakt waarin het fraudeurs die van zogenaamde "phising attacks" gebruikmaken harder wil aanpakken. De softwaregigant wil namelijk geen gebruikersnamen en wachtwoorden die via HTTP of HTTPS URLs verwerkt worden ondersteunen. Normaal wordt deze methode gebruikt om Internetgebruikers tegen frauduleuze of kwaadaardige websites te beschermen. Door een lek in Internet Explorer is het echter mogelijk dat oplichters een nep-URL in de adresbalk laten zien. Zo kan de syntax http(s)://username:password@server/resource.ext door legitieme, maar ook door fraudeurs misbruikt worden. In plaats van het lek, dat al bijna twee maanden bestaat, te verhelpen, heeft Microsoft besloten om met deze aanpak te stoppen. De syntax username:password@server/resource.ext zal dan ook niet meer in Windows of Internet Explorer ondersteund worden. Meer informatie over de wijzigingen geeft Microsoft in deze advisory. (The Register)
Beter was het geweest om het %00 karakter uit de link te weren.
Door het at teken te banne uit een url blijft het nog steeds mogelijk op
document niveau te spoofen.
Als het goed is geeft de onderstaande link in de statusbalk alleen
http://www.xs4all.nl aan terwijl je in werkelijkheid op sexsite terecht komt.
http://www.xs4all.nl%00/~eronet/
Weer half lapwerk van mirsoft dus
Frans Egberink
us;Q834489 target=_blank>deze advisory</a>
bedenken!?
Zou mij benieuwen in hoeverre die url parsing engine
onderdeel van de MS Windows kern is ... en hoeveel bugs er
nog in ondekt gaan worden.
@, %00 of %01 in zit.
Ik heb er hem wel weer afgegoid omdat ik zelf veel gebruik maak van de
mogelijkheid username:password@ om direct bij routers en switches in
te loggen zonder dat meekijkers de wachtwoorden kunnen zien.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
