水無月ばけらのえび日記

IEホゥル : NUL文字攻撃で URL 表示捏造可能

更新: 2003年12月11日

信蔵さん (shinzlogclips.blogspot.com)に教えて頂いた情報ですが、

……という話があるようで。これ、私の環境でも見事に再現しました。

URL 自体は userinfo を含むものとして正常に扱われているのですが、URL 表示欄では NUL文字から後ろが切れているわけですね。その結果、URL 表示欄には NUL 文字の前しか表示されないと。GET される URL 本体に NUL文字が入っている場合はサーバ側で駄目なので問題なかったりしますが、userinfo の中に NUL 文字を混入すると GET は正常に行われると。

内部的には正しい URL が認識されているようで、クロスドメインのセキュリティモデルが破れるには至っていないのですが、URL 表示欄を誤魔化せるということ自体が問題です。たとえば、銀行のログインフォームそっくりなページを作っておいてこの方法でアクセスさせれば、銀行のログインフォームそっくりのページが表示され、URL 表示欄には本物の URL が表示されているという事が可能なわけで。

※もっとも、捏造しようとする URL に / が含まれると userinfo の一部とみなされないので、ドメイン直下の URL でないと捏造できません。

※……と思ったのですが、撤回。単に %2f を使うだけでクリアできました。何でも捏造し放題です。yamamoto さんご指摘ありがとうございます。

これはちょっとまずいなぁ。

※追記。「IEにURLを偽装できるパッチ未公開の脆弱性が発見される (internet.watch.impress.co.jp)」という記事が出ていますね。「ただし、まだ攻撃コード（exploit code）が発見されていないことから緊急度は低く」っていったい……。こんなの 1分でできるんですが(えび日記を MS の URL に見せかけるテスト)。

• 「IEホゥル : NUL文字攻撃で URL 表示捏造可能」へのコメント (9件)

関連する話題: Web / セキュリティ / Internet Explorer