http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200212-017

MicrosoftInternetExplorer是一款由Microsoft公司开发的流行WEB浏览器。MSIE6.0版本对’/’的HTTP编码处理不正确，远程攻击者可以利用这个漏洞进行域名欺骗等攻击。MSIE6对使用以HTTP编码的’/’字符(2F=hex$(asc(‘/’)))解析不正确，攻击者可以构建类似如下的URL：[email protected]/liudieyu”target=”_blank”>http://www.yahoo.com%[email protected]/liudieyuIEURI解析器解析到’%2F’字符的时候会错误的判断为域名结束，而没有考虑是否’%2F’字符属于用户名/密码字段，结果造成HTTP用户名”www.yahoo.com”匹配为子窗口域(window.open(“www.yahoo.com”))，并授权访问，这可造成多个安全相关问题。攻击者可以构建URI包含目标站点为用户名的页面，并诱使用户点击。

来源:MS
名称:MS02-066
链接:http://www.microsoft.com/technet/security/bulletin/ms02-066.asp
来源:XF
名称:ie-sameoriginpolicy-bypass(10039)
链接:http://www.iss.net/security_center/static/10039.php
来源:BUGTRAQ
名称:20020903MSIEv6%encodingcausesaproblemagain
链接:http://archives.neohapsis.com/archives/bugtraq/2002-09/0018.html
来源:BID
名称:5610
链接:http://www.securityfocus.com/bid/5610
来源:OSVDB
名称:7845
链接:http://www.osvdb.org/7845
来源:BUGTRAQ
名称:20020904Re:MSIEv6%encodingcausesaproblemagain
链接:http://archives.neohapsis.com/archives/bugtraq/2002-09/0030.html
来源:USGovernmentResource:oval:org.mitre.oval:def:495
名称:oval:org.mitre.oval:def:495
链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:495
来源:USGovernmentResource:oval:org.mitre.oval:def:471
名称:oval:org.mitre.oval:def:471
链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:471
来源:USGovernmentResource:oval:org.mitre.oval:def:143
名称:oval:org.mitre.oval:def:143
链接:http://oval.mitre.org/repository/data/getDef?id=ova