GK
scheme://login:password@host:port/path#fragment
Size: a a a
2018 February 07
QH
Но как быть со строковым портом?)
GK
Но как быть со строковым портом?)
Думаю, это не должно было считаться валидным урлом
QH
Окей, но почему уровень «high»? Чего такого можно сделать с помощью этой уязвимости?
AS
я подозреваю, что надо копать в сторону того, что бы подсовывать приложению Uri с доступом к смс например. Типа a:a@sms:a@example2.com или файловый Uri. И потом что то с этим делать
QH
wtf?
DM
я подозреваю, что надо копать в сторону того, что бы подсовывать приложению Uri с доступом к смс например. Типа a:a@sms:a@example2.com или файловый Uri. И потом что то с этим делать
Полагаю что первая часть с логином паролем и хостом1 (а:а@site.com) воспринимается как логин а вторая часть как пароль и сайт. И проблема в том, что человек видит первый хост а реально переходит на второй. Кейс примерно такой:
В чате пишут "тут оплати заказ http://user:pass@sberbank.ru:a@giveyourmoney.xyz" и человек видит что ссылка ведет на сбер и переходит, а попадает на сайт злоумышленников которые воруют деньги.
В чате пишут "тут оплати заказ http://user:pass@sberbank.ru:a@giveyourmoney.xyz" и человек видит что ссылка ведет на сбер и переходит, а попадает на сайт злоумышленников которые воруют деньги.
QH
так он же должен увидеть в браузере весь урл
QH
Тут другое может быть: ведро откроет урл одного приложения в другом. Но мне сложно представить такой сценарий.
DM
Не обязательно. В мессенджере каком-нибудь добрый разраб будет обрезать линки для отображения, а через 301 редиректы или еще как будут подкидывать или подписки платные и еще что угодно
DM
Главное что бы люди видели что на валидный хост и знакомый переходят
D
В юзернейм и пароль получается можно линки пихать? Если кто-то открывает линк в виде имя:пароль()домен
Хотя врятли так кто-то делает.
Хотя врятли так кто-то делает.
AV
в гите же вроде можно так делать
QH
В юзернейм и пароль получается можно линки пихать? Если кто-то открывает линк в виде имя:пароль()домен
Хотя врятли так кто-то делает.
Хотя врятли так кто-то делает.
Пример из жизни:
ssh root@ip-addressD
Да так где угодно можно, и в ftp, и наверняка в http, например когда в админку логинишься...
GK
в http можно для basic авторизации, да
2018 February 08
VD
Множишься
GK