Firefox "Basic Realm"基础认证头欺骗漏洞 CVE-2008-0367 CNNVD-200801-317

5.0 AV AC AU C I A
发布: 2008-01-19
修订: 2018-10-26

firefox是Mozilla公司的web浏览器软件,是一款非常流行的开放源码WEB浏览器。 Firefox会在所访问的Web服务器返回401状态代码时显示认证对话和WWW-Authenticate头。如果要指定基础认证,WWW-Authenticate头必须设置了[Basic realm=XXX]值,然后会在认证对话窗口中显示Realm的值(也就是XXX)。 尽管Firefox不会显示双引号()后WWW-Authenticate头Realm值中的字符,但没有过滤单引号(\'\')和空格,因此攻击者就可以创建特制的Realm值,使认证对话看起来好像来自于可信任的站点,这样就可以执行网络钓鱼攻击。

0%

漏洞利用/PoC

暂无可用Exp或PoC

受影响的平台与产品

当前有2条受影响产品信息