12
返回列表 发帖
AY

Rank: 12Rank: 12Rank: 12

UID
1601 
帖子
3743 
精华
贡献
11  
推广
0  
有效BUG
0  
注册时间
2005-7-6 
1# 跳转到 » 正序看帖
打印
tT
发表于 2005-8-5 20:39 | 只看该作者

TW 不能通过 Secunia 多页面浏览漏洞测试

浏览, 页面, 漏洞, Secunia
在这里报告过: http://forum.ioage.com/forum/cn/ ... amp;page=2#pid20526

恐怕帖子沉了未能得到关注,再开个新帖详细报告一下:

http://secunia.com/multiple_browsers_dialog_box_spoofing_test/

是关于 2004-10-20 Secunia 报告的多页面浏览漏洞,当时很多多页面浏览器如 FF,mozilla,maxthon,avant 等都证实受影响,但已经先后修补。

现在经常用 TW,所以今天到 Secunia 测试一下,发觉 1.20 final 不能通过测试。希望能尽快修补,谢谢。
收藏 分享

phoenix

Rank: 20Rank: 20Rank: 20Rank: 20Rank: 20

UID
帖子
5881 
精华
15 
贡献
112  
推广
0  
有效BUG
0  
注册时间
2005-2-20 
13#
发表于 2005-8-17 13:42 | 只看该作者
呵呵,这个帖子沉了我也看到了,看我多负责
激活的标签是有问题,已经改好,下个版本发布
weibo.com/xiezhenyu

TOP

2323

Rank: 6Rank: 6

UID
1904 
帖子
456 
精华
贡献
0  
推广
0  
有效BUG
0  
注册时间
2005-7-28 
12#
发表于 2005-8-13 20:22 | 只看该作者
对,还是有问题,希望凤凰看一下!

TOP

AY

Rank: 12Rank: 12Rank: 12

UID
1601 
帖子
3743 
精华
贡献
11  
推广
0  
有效BUG
0  
注册时间
2005-7-6 
11#
发表于 2005-8-13 18:36 | 只看该作者
好像有些问题,激活的不是弹出输入框页面,而是第一个标签。

TOP

2323

Rank: 6Rank: 6

UID
1904 
帖子
456 
精华
贡献
0  
推广
0  
有效BUG
0  
注册时间
2005-7-28 
10#
发表于 2005-8-13 01:52 | 只看该作者
还是通不过测试....
弹出脚本对话框之后,跳到的页面并不是Secunia,而是会变成Secunia之前的一个页面。

我想虽然避免了被欺骗,不过好像跟初衷不太一样吧...
不知道我想的对不对??

TOP

znf0928

Rank: 4

UID
807 
帖子
132 
精华
贡献
0  
推广
0  
有效BUG
0  
注册时间
2005-4-18 
9#
发表于 2005-8-13 01:09 | 只看该作者

TOP

starsoft

Rank: 12Rank: 12Rank: 12

UID
795 
帖子
2279 
精华
贡献
0  
推广
0  
有效BUG
0  
注册时间
2005-4-16 
8#
发表于 2005-8-13 01:04 | 只看该作者
我还是通不过呢?
WIN7.PRO.SP1+全补丁+IE9,TW最新版,一般不乱说!

TOP

phoenix

Rank: 20Rank: 20Rank: 20Rank: 20Rank: 20

UID
帖子
5881 
精华
15 
贡献
112  
推广
0  
有效BUG
0  
注册时间
2005-2-20 
7#
发表于 2005-8-13 00:35 | 只看该作者
1.22预发布版本已经修复了这个问题
weibo.com/xiezhenyu

TOP

phoenix

Rank: 20Rank: 20Rank: 20Rank: 20Rank: 20

UID
帖子
5881 
精华
15 
贡献
112  
推广
0  
有效BUG
0  
注册时间
2005-2-20 
6#
发表于 2005-8-10 18:11 | 只看该作者
哦,是我没有看仔细,这个问题不大,好改,后续版本改进
weibo.com/xiezhenyu

TOP

AY

Rank: 12Rank: 12Rank: 12

UID
1601 
帖子
3743 
精华
贡献
11  
推广
0  
有效BUG
0  
注册时间
2005-7-6 
5#
发表于 2005-8-10 16:25 | 只看该作者
Originally posted by gwuj at 2005-8-10 03:21 PM:
这个是不是与你的系统有关啦,我想,不是浏览器能管得了的事

是浏览器的问题,因为 ie 没有多页面,所有不存在这问题。maxthon/ff/avant 原来都不通过,但都已经先后修补了,希望 TW 尽快修补。

TOP

AY

Rank: 12Rank: 12Rank: 12

UID
1601 
帖子
3743 
精华
贡献
11  
推广
0  
有效BUG
0  
注册时间
2005-7-6 
4#
发表于 2005-8-10 16:19 | 只看该作者
Originally posted by breath at 2005-8-6 03:53 PM:
刚才我去看了,TheWorld可以通过测试

它的测试是要在新开的页面的脚本对话框中输入一个串,然后在原来的页面上可以显示出来,TheWorld没有问题,测试通过

这样正是不能通过测试啊!

它的测试是在 paypal 页面打开属于 secunia 的输入框,令用户误以为是 paypal 要求要输入资料,其实资料不是 paypal 要求的,而是 secunia 要求的。

maxthon/ff 等在打开输入框时会激活 secunia 页面,用户便清楚知道是 secunia 要求输入资料。tw 则会在 paypal 页面上打开输入框,用户便会误以为是 paypal 要求输入资料。

TOP

gwuj

Rank: 3Rank: 3

UID
2165 
帖子
26 
精华
贡献
0  
推广
0  
有效BUG
0  
注册时间
2005-8-10 
3#
发表于 2005-8-10 15:21 | 只看该作者
这个是不是与你的系统有关啦,我想,不是浏览器能管得了的事

TOP

12
返回列表