Sobre URL falsas

15/12/2003 - 00:55 por superdelphinet | Informe spam
Muy claro todo lo referente al formato de la URL

http://nombre:password@www.xxx.xxx:puerto

Muy claro también de los caracteres en hexadecimal con %delante, no
hay problema

Pero pensemos en la dirección

www.google.es@www.terra.es

El IE toma como nombre de usuario lo primero, y salta a la dirección
de terra, y muestra en la barra del explorador www.terra.es, justo
donde ha saltado. sin problemas.

En mozilla también salta a terra, pero muestra
www.google.es@www.terra.es, es la diferencia, pero hasta ahora todo
bien.

Si ponemos www.google.es%01%00@www.terra.es

Hemos puesto al final de google dos caracteres hexadecimales, que son
caracters de "control", en principio el comportamiento no varia, o sea
sigue sin haber problema

El problema está si en vez de poner %01 ponemos  que "supongo" que
corresponde al hexadecimal %01, entonces el comportamiento varia del
todo.
En IE se salta a terra, pero en la pantalla aparece google, por eso
hispasec habla de vulnerabilidad. En cambio mozilla sique poniendo la
dirección completa e incluso traduce el símbolo del cuadradito por
%01.

Que cada cual saque sus consecuencias.

Con esto me limito a exponer lo que me ocurre, no he insultado ni
despreciado a nadie, sólo pongo mi experiencia, pido por parte de
todos el mismo respeto y buenas formas.

Preguntas similare

Leer las respuestas

#1 JM Tella Llop [MS MVP] ·
15/12/2003 - 14:59 | Informe spam
je... ¿y "ese" es el bug?

Por Dios! en el reparto de inteligencia alguno no llegó.. ;-)

Jose Manuel Tella Llop
MS MVP - DTS


Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.


wrote in message news:
Muy claro todo lo referente al formato de la URL

http://nombre::puerto

Muy claro también de los caracteres en hexadecimal con %delante, no
hay problema

Pero pensemos en la dirección



El IE toma como nombre de usuario lo primero, y salta a la dirección
de terra, y muestra en la barra del explorador www.terra.es, justo
donde ha saltado. sin problemas.

En mozilla también salta a terra, pero muestra
, es la diferencia, pero hasta ahora todo
bien.

Si ponemos www.google.es%01%

Hemos puesto al final de google dos caracteres hexadecimales, que son
caracters de "control", en principio el comportamiento no varia, o sea
sigue sin haber problema

El problema está si en vez de poner %01 ponemos  que "supongo" que
corresponde al hexadecimal %01, entonces el comportamiento varia del
todo.
En IE se salta a terra, pero en la pantalla aparece google, por eso
hispasec habla de vulnerabilidad. En cambio mozilla sique poniendo la
dirección completa e incluso traduce el símbolo del cuadradito por
%01.

Que cada cual saque sus consecuencias.

Con esto me limito a exponer lo que me ocurre, no he insultado ni
despreciado a nadie, sólo pongo mi experiencia, pido por parte de
todos el mismo respeto y buenas formas.
Respuesta Responder a este mensaje
#2 JM Tella Llop [MS MVP] ·
15/12/2003 - 15:05 | Informe spam
Tiene la misma "connotacion" que el bug, anunciado en la misma pagina de Hispasec del DoS al IE

Se deben haber caido de la hoja de un calendario. porque esta dir:
http://www.albinoblacksheep.com/flash/you.html
y similares que usan "ducha" vulnerabilidad, las utilizabamos de broma cuando eramos jovencitos.

Por Dios! Cada vez me sorprendo más con la "cultura" de la gente... y además lo facil que es "embobarles" (a veces dudo si es que no nacieron así).

Jose Manuel Tella Llop
MS MVP - DTS


Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.


"JM Tella Llop [MS MVP] ·" wrote in message news:
je... ¿y "ese" es el bug?

Por Dios! en el reparto de inteligencia alguno no llegó.. ;-)

Jose Manuel Tella Llop
MS MVP - DTS


Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.


wrote in message news:
Muy claro todo lo referente al formato de la URL

http://nombre::puerto

Muy claro también de los caracteres en hexadecimal con %delante, no
hay problema

Pero pensemos en la dirección



El IE toma como nombre de usuario lo primero, y salta a la dirección
de terra, y muestra en la barra del explorador www.terra.es, justo
donde ha saltado. sin problemas.

En mozilla también salta a terra, pero muestra
, es la diferencia, pero hasta ahora todo
bien.

Si ponemos www.google.es%01%

Hemos puesto al final de google dos caracteres hexadecimales, que son
caracters de "control", en principio el comportamiento no varia, o sea
sigue sin haber problema

El problema está si en vez de poner %01 ponemos  que "supongo" que
corresponde al hexadecimal %01, entonces el comportamiento varia del
todo.
En IE se salta a terra, pero en la pantalla aparece google, por eso
hispasec habla de vulnerabilidad. En cambio mozilla sique poniendo la
dirección completa e incluso traduce el símbolo del cuadradito por
%01.

Que cada cual saque sus consecuencias.

Con esto me limito a exponer lo que me ocurre, no he insultado ni
despreciado a nadie, sólo pongo mi experiencia, pido por parte de
todos el mismo respeto y buenas formas.
email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaRespuesta Tengo una respuesta
Search Busqueda sugerida