Quote:
Originariamente inviato da riazzituoi
nell'esempio mostrato (l'ho sistemato, in quanto il link all'allegato non era corretto) non ti comparirà alcun avviso. Tra l'altro ho appena finito un altro poc più "aggressivo e bello da vedere, che posterò più tardi con una nuova modalità...
l'obiettivo in questo caso non è bypassare la modalità protetta, ma dimostrare come IE non sia sicuro anche per la visualizzazione offline
|
scarico il file aprimi html, mi chiede il download del file hack zip...accetto (perché credo mi chiedessi questo per far funzionare l'attacco...quindi non ho volutamente bloccato e sono andato oltre ) lancio il file e appare questo (posto l'immagine)
http://www.iouppo.com/pics3/477a0a92...0e3f2ada63.JPG
quello che succede è che sono reindirizzato in temp,
con firefox vengo reindirizzato nella cartella download se non sbaglio, sinceramente non ho capito in cosa consisterebbe l'attacco
non si cerca di scaricare un file nocivo il che impedisce l'intervento di un antivirus,
(come potrebbe succedere nella realtà) ... nemmeno di scaricarlo in modo automatico (comunque dovrei avviare il download successivamente ) non viene bypassata la mod protetta che era l'aspetto per cui avevo postato,
non posso nemmeno valutare la fonte da cui proviene il file e decidere se eseguirlo o meno (in quanto altrimenti l'attacco terminerebbe )
IE non è configurato (non conosco nel dettaglio il browser per farlo in poco tempo) non possiamo far passare tutti questi aspetti in secondo piano
non è lasciata all'utente nessuna decisione,all'inizio prospettavamo altre modalità
Quote:
Originariamente inviato da riazzituoi
ma quella che chiami comodità, in realtà è un vettore che può essere sfruttato.
Esatto, ma ci sono tante tipologie di attacco, e gli altri browser ne tengono conto
Ciao
|
sono d'accordo, ma io non ho mai detto che IE è sicurissimo di default, se un utente vuole rinunciare alla comodità gli basta configurare il browser , come per tutti gli altri...per il secondo punto sono d'accordo ed era quello che dicevo anch'io all'utente che aveva fatto la domanda
Quote:
Originariamente inviato da riazzituoi
allora non rispondo
|
qui intendevo dire che nonostante avessi quotato il tuo post era una domanda generalizzata, tesa a far capire quanto dicevo