[Dshield] MSFT Internet Explorer, %01 URL spoofing

Kenneth Coney superc at visuallink.com
Sun Dec 14 04:53:35 GMT 2003


Using Netscape 7.1 "Go to Fake Bank" is plainly visible in the top as 
https://secure.fakebank.com%01@secure.euclidian.com/fakebank.html

With "No Scripting" it shows in the top as 
https://secure.fakebank.com%01@secure.euclidian.com/fakebank.html

"GoTo Fake Bank" (HTML) shows up top as 
https://secure.fakebank.com%01@secure.euclidian.com/fakebank.html

The first link under better hidden shows in the top bar as
https://secure.fakebank.com%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%01@secure.euclidian.com/fakebank.html
  (a mouthful)

The last shows in the top bar as 
https://secure.fakebank.com%001%01@secure.euclidian.com/fakebank.html

With Netscape none show secure.euclidian.com as where the user is.  This is 
probably part of why I switched to Nscape Gold about a decade ago.


Subject: [Dshield] MSFT Internet Explorer, %01 URL spoofing
From: "Johannes B. Ullrich" <jullrich at sans.org>
Date: Sat, 13 Dec 2003 14:42:44 -0500
To: list at dshield.org

I was playing earlier with the latest Internet Explorer URL spoofing
vulnerability. If you havent heard yet: By inserting the ASCII character
'0x01' into your URL, you can trick Internet Explorer into hiding the
actual URL you go to.

Of course, https does not protect you in this case, unless you are
looking at the certificate. If you need to explain to someone how bad
this can be, take a look at my little demo page:

http://johannes.homepc.org/ievuln.html

I am not exactly sure what to tell people that would like to protect
themselves. Is 'using a different browser' the only protection? Looking
at the certificate will of course help. But thats not always so easy for
a non-technical user.

-- 





More information about the list mailing list