世界之窗论坛 - Powered by Discuz! Board

标题: TW 不能通过 Secunia 多页面浏览漏洞测试 [打印本页]

作者: AY 时间: 2005-8-5 20:39 标题: TW 不能通过 Secunia 多页面浏览漏洞测试

在这里报告过： http://forum.ioage.com/forum/cn/ ... amp;page=2#pid20526

恐怕帖子沉了未能得到关注，再开个新帖详细报告一下：

http://secunia.com/multiple_browsers_dialog_box_spoofing_test/

是关于 2004-10-20 Secunia 报告的多页面浏览漏洞，当时很多多页面浏览器如 FF，mozilla，maxthon，avant 等都证实受影响，但已经先后修补。

现在经常用 TW，所以今天到 Secunia 测试一下，发觉 1.20 final 不能通过测试。希望能尽快修补，谢谢。

作者: breath 时间: 2005-8-6 15:53

刚才我去看了，TheWorld可以通过测试

它的测试是要在新开的页面的脚本对话框中输入一个串，然后在原来的页面上可以显示出来，TheWorld没有问题，测试通过

作者: gwuj 时间: 2005-8-10 15:21

这个是不是与你的系统有关啦，我想，不是浏览器能管得了的事

作者: AY 时间: 2005-8-10 16:19

Originally posted by breath at 2005-8-6 03:53 PM:
刚才我去看了，TheWorld可以通过测试

它的测试是要在新开的页面的脚本对话框中输入一个串，然后在原来的页面上可以显示出来，TheWorld没有问题，测试通过

这样正是不能通过测试啊!

它的测试是在 paypal 页面打开属于 secunia 的输入框，令用户误以为是 paypal 要求要输入资料，其实资料不是 paypal 要求的，而是 secunia 要求的。

maxthon/ff 等在打开输入框时会激活 secunia 页面，用户便清楚知道是 secunia 要求输入资料。tw 则会在 paypal 页面上打开输入框，用户便会误以为是 paypal 要求输入资料。

作者: AY 时间: 2005-8-10 16:25

Originally posted by gwuj at 2005-8-10 03:21 PM:
这个是不是与你的系统有关啦，我想，不是浏览器能管得了的事

是浏览器的问题，因为 ie 没有多页面，所有不存在这问题。maxthon/ff/avant 原来都不通过，但都已经先后修补了，希望 TW 尽快修补。

作者: phoenix 时间: 2005-8-10 18:11

哦，是我没有看仔细，这个问题不大，好改，后续版本改进

作者: phoenix 时间: 2005-8-13 00:35

1.22预发布版本已经修复了这个问题

作者: starsoft 时间: 2005-8-13 01:04

我还是通不过呢?

作者: znf0928 时间: 2005-8-13 01:09

顶

作者: 2323 时间: 2005-8-13 01:52

还是通不过测试....
弹出脚本对话框之后，跳到的页面并不是Secunia，而是会变成Secunia之前的一个页面。

我想虽然避免了被欺骗，不过好像跟初衷不太一样吧...
不知道我想的对不对？？

作者: AY 时间: 2005-8-13 18:36

好像有些问题，激活的不是弹出输入框页面，而是第一个标签。

作者: 2323 时间: 2005-8-13 20:22

对，还是有问题，希望凤凰看一下！

作者: phoenix 时间: 2005-8-17 13:42

呵呵，这个帖子沉了我也看到了，看我多负责
激活的标签是有问题，已经改好，下个版本发布

欢迎光临世界之窗论坛 (http://bbs.theworld.cn/)