阿碼外傳-阿碼科技非官方中文 Blog: 2010年5月27日

2010年5月27日

模擬實戰標籤綁架手法(Challenge to TabNapping)

暨「點閱綁架(Clickjacking)」手法之後,又出現「標籤綁架(TabNapping)」的新手法了。
直接來親身體驗吧!這裡有實作的體驗網站 (FireFox 確定可以被利用)。畫面如下:


實戰標籤綁架,主要利用欺瞞手法,當你瀏覽網站時,切換到不同索引標籤(或書籤、分頁),或切換到不同視窗後五秒鐘,該有問題的頁面就會被偷偷轉換成另外一個誘騙的瀏覽頁面,於是就出現「猥琐」的事件。目前已知可以成功的瀏覽器:
1.Firefox 3.6.3
2.Chrome 4.1.249.1064

手法剖析:
1.目前大多主流之瀏覽器都有索引標籤(IE&Safari 使用此稱呼)、標籤頁(Safari 亦有用此稱呼),或稱「分頁」(Chrome&FireFox 使用此稱呼)之功能。
2.當大量使用上述功能於同一瀏覽器中,其中一頁面可以用此程式語法加以利用。
3.將頁面內容偷偷改變成為另一頁面內容,導致誘騙上當之情事。
4.可做為網路釣魚或詐騙的手法之一。

相關挑戰之系列文章:
模擬實戰點閱綁架手法
模擬實戰釣魚網站」(目前已被歸類為 Click by Download 手法)

參考資料:
Raskin 之個人部落格 PS:他是 Mozilla Firefox 瀏覽器的介面及創意負責人。在他的 Bolg 上亦展示了此手法。
相關新聞:
ITHome
資安之眼

本文同步張貼於「資安之我見」。

繼續閱讀全文...