Safariで偽装URLを見破るテスト

最近巷をにぎわしている例の脆弱性を、Safariで見破るユーザスタイルシートのテスト。

以下のように見えます。

  • onclickを使った偽装の例
    はてなダイアリーではonclickが使えないので、小島先生の検証サイトのスクリーンショット。

方法としては、ユーザスタイルシートに以下を追記するだけ。

A[href][onclick*="%"]::after {
display:block;
position:relative;
top:0;
left:20;
background­color:yellow;
color:black;
font­weight:bold;
content:"<< FAKE URL? >>" attr(onclick)}
A[href*="@"][href*="%"]::after {
display:block;
position:relative;
top:0;
left:20;
background­color:yellow;
color:black;
font­weight:bold;
content:"<< FAKE URL? >>" attr(href)}

私が、いまだ、この脆弱性が及ぶ範囲とどのような偽装パターンがあり得るかどうかをカバーしていないため、全ての偽装を見破ることはできないはずですが、より単純なルール(@を含んでたら全部疑うとか)にすることで、もう少し信頼度が向上するのではないでしょうか。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

%d人のブロガーが「いいね」をつけました。