搜狗、360、遨游还有世纪之窗等浏览器字符未过滤或致钓鱼

 

当初软件开发是基于IE6的内核系统的。

 

现今IE6早就已经更新

 

现在在IE6中打开http://www.baidu.com@2cto.com回显“语法错误”信息

 

过滤了"@"字符

 

但是现在搜狗、360、遨游还有世纪之窗等浏览器均不出现回显错误

 

而是直接跳转至地址http://2cto.com

 

假设某论坛支持HTML代码

 

则发帖内容为：<a href="https://mybank.icbc.com.cn/icbc/perbank/regtip.jsp@www.sina.com.cn/">http://www.icbc.com.cn/</a>

 

那么如果用户使用的是上述几个浏览器之一，看到的信息是http://www.icbc.com.cn

 

但是点击进入的实际地址却是www.sina.com（如果是钓鱼地址呢……）

 

漏洞证明：

假设某论坛支持HTML代码

 

则发帖内容为：<a href="https://mybank.icbc.com.cn/icbc/perbank/regtip.jsp@www.sina.com.cn/">http://www.icbc.com.cn/</a>

 

那么如果用户使用的是上述几个浏览器之一，看到的信息是http://www.icbc.com.cn

 

但是点击进入的实际地址却是www.sina.com（如果是钓鱼地址呢……）