攻击与威胁
标签页伪装攻击 (Tabnabbing)
别称: Reverse tabnabbing
定义
后台或新打开的浏览器标签页静默改写自身,伪装成可信的登录页面,等待用户切回时再输入凭据的攻击。
Tabnabbing 利用人们很少留意闲置标签页这一点。经典版本中,用户离开某标签页后,该页面通过 JavaScript 修改标题、favicon 与内容,使其看起来像 Webmail、网银等熟悉的服务;用户切回时往往会输入密码。逆向 Tabnabbing(reverse tabnabbing)则利用 target="_blank" 链接:被打开的恶意页面通过 window.opener 改写原标签页的 URL,导向钓鱼网站。现代浏览器默认对 target="_blank" 启用 rel="noopener",但旧代码仍可能受影响。防御措施包括在外链上添加 rel="noopener noreferrer"、使用 CSP、对用户控制的 URL 用 noopener 打开,以及提醒用户切回标签页时检查 URL 栏。
示例
- 用户离开的标签页静默改写为 Gmail 登录页面外观,并提示输入密码。
- 评论里的链接打开新标签后,通过 window.opener 把原标签重定向到钓鱼站点。
相关术语
点击劫持 (Clickjacking)
通过把目标页面叠加或隐藏在攻击者控制的页面之内,诱导用户点击与所见不符的目标的 UI 欺骗攻击。
网络钓鱼
一种社会工程攻击,攻击者冒充可信方,诱骗受害者泄露凭据、转账或运行恶意软件。
Open Redirect
Open Redirect — definition coming soon.
跨站脚本(XSS)
一种 Web 漏洞,攻击者可在其他用户浏览的页面中注入恶意脚本,使其在受害者浏览器中以该站点的来源身份运行。
Content Security Policy (CSP)
Content Security Policy (CSP) — definition coming soon.
水坑攻击
针对特定用户群体常访问的网站发起的定向攻击,使其访问时被感染。