站内公告      关于在天津市网站设置虚拟警察、治安岗亭的通知
您现在的位置: 天津市公安局公共信息网络安全监察总队 >> 安全动态 >> 安全动态正文
Firefox “Basic Realm”基础认证头欺骗漏洞
发布日期:2008-01-02
更新日期:2008-01-07

受影响系统:
Mozilla Firefox 2.0.0.11
描述:
BUGTRAQ  ID: 27111

Firefox是一款开源的WEB浏览器。

Firefox会在所访问的Web服务器返回401状态代码时显示认证对话和WWW-Authenticate头。如果要指定基础认证,WWW-Authenticate头必须设置了[Basic realm="XXX"]值,然后会在认证对话窗口中显示Realm的值(也就是XXX)。

尽管Firefox不会显示双引号(")后WWW-Authenticate头Realm值中的字符,但没有过滤单引号(')和空格,因此攻击者就可以创建特制的Realm值,使认证对话看起来好像来自于可信任的站点,这样就可以执行网络钓鱼攻击。

<*来源:Aviv Raff (avivra@gmail.com)
  
  链接:http://marc.info/?l=bugtraq&m=119937337521330&w=2
*>

建议:
厂商补丁:

Mozilla
-------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.mozilla.org/

浏览次数:19
严重程度:0
来源:绿盟科技

Copyright © 2007-2009 天津市公安局公共信息网络安全监察总队 版权所有
建议使用:1024*768分辨率,16Bit颜色、Netscape6.0、IE5.0以上版本浏览器
技术支持:天津克利斯科技有限公司