IE url spoofing

[Habanero]

Non è recentissima ma vale la pena di riproporla.
E una vulnerabilità di IE 5-5.5-6 che permette, tramite un link ad un URL mal formato, di visualizzare nella barra degli indirizzi il nome di un sito diverso da quello su cui si è stati rediretti.
Ne è parzialmente vulnerabile anche Mozilla:

http://netsquirrel.com/spoof/
http://punto-informatico.it/p.asp?i=46264

Non esiste ancora una patch da parte di microsoft:
http://support.microsoft.com/?id=833786

Mozilla:
http://www.mozillazine.org/talkback.html?article=4078

[SupraRZ]

tnx Habanero!

[Dwarf]

Ho fatto il test di questo sito

Url apparsi:
IE6: http://www.microsoft.com
Firebird 0.7 http://www.microsoft.com%01%00@secun...spoofing_test/

:master:

[Al è qui]

Per chi non avesse voglia di leggersi l'articolo Microsoft, nel frattempo di una patch, utilizzare questa stringa nella barra indirizzi (al posto dell'url che visualizziamo) e dare invio:

javascript:alert("Actual URL address: " + location.protocol + "//" + location.hostname + "/");

Appare un messaggio con il sito reale.