返回列表 发帖

TW 不能通过 Secunia 多页面浏览漏洞测试

在这里报告过: http://forum.ioage.com/forum/cn/ ... amp;page=2#pid20526

恐怕帖子沉了未能得到关注,再开个新帖详细报告一下:

http://secunia.com/multiple_browsers_dialog_box_spoofing_test/

是关于 2004-10-20 Secunia 报告的多页面浏览漏洞,当时很多多页面浏览器如 FF,mozilla,maxthon,avant 等都证实受影响,但已经先后修补。

现在经常用 TW,所以今天到 Secunia 测试一下,发觉 1.20 final 不能通过测试。希望能尽快修补,谢谢。

呵呵,这个帖子沉了我也看到了,看我多负责
激活的标签是有问题,已经改好,下个版本发布
weibo.com/xiezhenyu

TOP

对,还是有问题,希望凤凰看一下!

TOP

好像有些问题,激活的不是弹出输入框页面,而是第一个标签。

TOP

还是通不过测试....
弹出脚本对话框之后,跳到的页面并不是Secunia,而是会变成Secunia之前的一个页面。

我想虽然避免了被欺骗,不过好像跟初衷不太一样吧...
不知道我想的对不对??

TOP

TOP

我还是通不过呢?
WIN7.PRO.SP1+全补丁+IE9,TW最新版,一般不乱说!

TOP

1.22预发布版本已经修复了这个问题
weibo.com/xiezhenyu

TOP

哦,是我没有看仔细,这个问题不大,好改,后续版本改进
weibo.com/xiezhenyu

TOP

Originally posted by gwuj at 2005-8-10 03:21 PM:
这个是不是与你的系统有关啦,我想,不是浏览器能管得了的事

是浏览器的问题,因为 ie 没有多页面,所有不存在这问题。maxthon/ff/avant 原来都不通过,但都已经先后修补了,希望 TW 尽快修补。

TOP

Originally posted by breath at 2005-8-6 03:53 PM:
刚才我去看了,TheWorld可以通过测试

它的测试是要在新开的页面的脚本对话框中输入一个串,然后在原来的页面上可以显示出来,TheWorld没有问题,测试通过

这样正是不能通过测试啊!

它的测试是在 paypal 页面打开属于 secunia 的输入框,令用户误以为是 paypal 要求要输入资料,其实资料不是 paypal 要求的,而是 secunia 要求的。

maxthon/ff 等在打开输入框时会激活 secunia 页面,用户便清楚知道是 secunia 要求输入资料。tw 则会在 paypal 页面上打开输入框,用户便会误以为是 paypal 要求输入资料。

TOP

这个是不是与你的系统有关啦,我想,不是浏览器能管得了的事

TOP

返回列表