Sobre URL falsas

15/12/2003 - 00:55 por superdelphinet | Informe spam
Muy claro todo lo referente al formato de la URL

http://nombre:password@www.xxx.xxx:puerto

Muy claro también de los caracteres en hexadecimal con %delante, no
hay problema

Pero pensemos en la dirección

www.google.es@www.terra.es

El IE toma como nombre de usuario lo primero, y salta a la dirección
de terra, y muestra en la barra del explorador www.terra.es, justo
donde ha saltado. sin problemas.

En mozilla también salta a terra, pero muestra
www.google.es@www.terra.es, es la diferencia, pero hasta ahora todo
bien.

Si ponemos www.google.es%01%00@www.terra.es

Hemos puesto al final de google dos caracteres hexadecimales, que son
caracters de "control", en principio el comportamiento no varia, o sea
sigue sin haber problema

El problema está si en vez de poner %01 ponemos  que "supongo" que
corresponde al hexadecimal %01, entonces el comportamiento varia del
todo.
En IE se salta a terra, pero en la pantalla aparece google, por eso
hispasec habla de vulnerabilidad. En cambio mozilla sique poniendo la
dirección completa e incluso traduce el símbolo del cuadradito por
%01.

Que cada cual saque sus consecuencias.

Con esto me limito a exponer lo que me ocurre, no he insultado ni
despreciado a nadie, sólo pongo mi experiencia, pido por parte de
todos el mismo respeto y buenas formas.
 

Leer las respuestas

#1 JM Tella Llop [MS MVP] ·
15/12/2003 - 14:59 | Informe spam
je... ¿y "ese" es el bug?

Por Dios! en el reparto de inteligencia alguno no llegó.. ;-)

Jose Manuel Tella Llop
MS MVP - DTS


Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.


wrote in message news:
Muy claro todo lo referente al formato de la URL

http://nombre::puerto

Muy claro también de los caracteres en hexadecimal con %delante, no
hay problema

Pero pensemos en la dirección



El IE toma como nombre de usuario lo primero, y salta a la dirección
de terra, y muestra en la barra del explorador www.terra.es, justo
donde ha saltado. sin problemas.

En mozilla también salta a terra, pero muestra
, es la diferencia, pero hasta ahora todo
bien.

Si ponemos www.google.es%01%

Hemos puesto al final de google dos caracteres hexadecimales, que son
caracters de "control", en principio el comportamiento no varia, o sea
sigue sin haber problema

El problema está si en vez de poner %01 ponemos  que "supongo" que
corresponde al hexadecimal %01, entonces el comportamiento varia del
todo.
En IE se salta a terra, pero en la pantalla aparece google, por eso
hispasec habla de vulnerabilidad. En cambio mozilla sique poniendo la
dirección completa e incluso traduce el símbolo del cuadradito por
%01.

Que cada cual saque sus consecuencias.

Con esto me limito a exponer lo que me ocurre, no he insultado ni
despreciado a nadie, sólo pongo mi experiencia, pido por parte de
todos el mismo respeto y buenas formas.

Preguntas similares