Đi câu cá với target="_blank"
Security
32
phishing
1
HTML
28
White

Khoa Nguyen viết ngày 01/10/2016

alt text

Giới thiệu

Đi câu cá hay mấy anh Tây hay gọi Phishing có nghĩa là lừa đảo nhằm đánh cắp tài khoản, mật khẩu, thẻ tín dụng của người dùng. Bài viết này sẽ giới thiệu các bạn cách câu cá với thuộc tính target="_blank" của trình duyệt.

Cách thức

Nếu bạn dùng thuộc tính target="_blank" trên một liên kết mà không kèm thuộc tính rel="noopener noreferrer" để mở một trang web không thuộc quyền kiểm soát của bạn. Trang vừa mở sẽ truy cập được toàn bộ window object của bạn thông qua window.opener

Đoạn mã dưới đây sẽ minh họa điều đó

if (window.opener) {
  window.opener.location = "https://khoanguyen.me/phishing-target-blank/landing.html?referrer="+document.referrer
}

Đâu có gì nghiêm trọng phải không nào? Hãy thử tưởng tượng https://khoanguyen.me/phishing là một trang mồi của mấy anh câu cá với giao diện đăng nhập như trang của bạn, người dùng sẽ bị mất mật khẩu một cách dễ dàng.

Ví dụ

  1. Vào fanpage Khoa Nguyen dot me
  2. Bấm Like giúp mình (câu like rẻ tiền)
  3. Bấm vào liên kết khoanguyen.me. Một thẻ/ cửa sổ trình duyệt mới sẽ mở ra
  4. Chú ý thẻ ban đầu (Facebook.com) đã được chuyển tới trang này

Khắc phục

Cách khắc phục là chèn thuộc tính rel="noopener noreferrer" vào tất cả các liên kết có thuộc tính target="_blank". Hoặc ít nhất là vào những liên kết do người dùng chèn vào.

Và trên hết, nếu bạn phát hiện trang web nào có lỗ hổng này, hãy báo ngay cho quản trị của các trang web đó để khắc phục


P/S: Bài viết này được đăng tải lần đầu trên blog của mình


P/S 2: Kipalog cũng dính cái này. Nhấp vào link này để kiếm tra (khoanguyen.me)
Kipalog đã fix rồi

Bình luận


White
{{ comment.user.name }}
Bỏ hay Hay
{{comment.like_count}}
Male avatar
{{ comment_error }}
Hủy
   

Hiển thị thử

Chỉnh sửa

White

Khoa Nguyen

14 bài viết.
63 người follow
Kipalog
{{userFollowed ? 'Following' : 'Follow'}}
Cùng một tác giả
White
41 3
Nếu bạn là thành viên của (Link) thì các bạn có thể đã biết đến khóa học của (Link) Khóa học này (có phí) gồm các (Link) kèm với đó là (Link). (Ả...
Khoa Nguyen viết 2 năm trước
41 3
White
28 8
Động lực Sau khi đọc bài viết (Link) của bác @quocnguyen thì mình có giới thiệu cho em gái trang phim.clgt.vn . Nó coi được 5 phút thì bảo là cái ...
Khoa Nguyen viết gần 2 năm trước
28 8
White
14 11
Chắc chắn là ai đã từng làm việc với npm thì đều biết một điều rằng npm nó siêu chậm. Vì vậy mình hay hạn chế chạy npm install đến mức tối thiểu và...
Khoa Nguyen viết hơn 2 năm trước
14 11
Bài viết liên quan
Male avatar
0 2
Chào mọi người, trong bài viết này chúng ta sẽ tìm hiểu cách (Link) 1 cách đơn giản dễ làm với HTML và Google Charts. Đầu tiên các bạn tạo 1 file ...
TungVuong viết 7 tháng trước
0 2
{{like_count}}

kipalog

{{ comment_count }}

bình luận

{{liked ? "Đã kipalog" : "Kipalog"}}


White
{{userFollowed ? 'Following' : 'Follow'}}
14 bài viết.
63 người follow

 Đầu mục bài viết

Vẫn còn nữa! x

Kipalog vẫn còn rất nhiều bài viết hay và chủ đề thú vị chờ bạn khám phá!