这是一个创建于 3323 天前的主题,其中的信息可能已经有所发展或是发生改变。
作者:洋葱猴 链接: https://zhuanlan.zhihu.com/p/22231471 来源:知乎 著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
国外网友近日曝出大部分网站都忽视了的安全漏洞,包括 Facebook , Twitter 等网站都被检测出带有 The target="_blank" 漏洞,据查该漏洞很早就被提交出来但一直被“忽视”,这可能是有史以来最被低估的漏洞。
你可以点击 这个 Demo http://tvvocold.coding.me/target_blank_vulnerability/ 测试该安全问题:带有 target="_blank" 跳转的网页拥有了浏览器 window.opener 对象赋予的对原网页的跳转权限,这可能会被恶意网站利用,例如一个恶意网站在某 UGC 网站 Po 了其恶意网址,该 UGC 网站用户在新窗口打开页面时,恶意网站利用该漏洞将原 UGC 网站跳转到伪造的钓鱼页面,用户返回到原窗口时可能会忽视浏览器 URL 已发生了变化,伪造页面即可进一步进行钓鱼或其他恶意行为...
代码如下:
<script language="Javascript"> window.opener.location = 'https://example.com' </script> 修复方法:
为 target="_blank" 加上 rel="noopener noreferrer" 属性。
预计该“安全缺陷”影响了 99% 的互联网网站和大部分浏览器, Instagram 已修复这个问题,有趣的是谷歌 拒绝接受 这个问题,谷歌认为“这属于浏览器缺陷,不能由单一的网站进行有意义的缓解”。
 | 3 shiny 2016-09-09 15:14:40 +08:00 几年前有人用这个原理劫持百度,做一个假百度,然后诱导用户设为主页。后来修复了这个问题。 Google 的搜索页还是常常出现这个问题。 |
 | 4 subpo PRO 还近日呢,我上次听说的时候估计还没艳照门呢 |
 | 8 morethansean 2016-09-09 15:21:34 +08:00 又来了……谷歌不是一直有这个问题么…… |
 | 9 zi 2016-09-09 16:40:43 +08:00  1 |
 | 10 chimingphang 2016-09-09 16:41:44 +08:00 6666 |
 | 11 FrankFang128 2016-09-09 16:50:01 +08:00 看来有些人不知道「修复」和「避免」的区别 |
 | 12 Lentin 2016-09-09 16:52:39 +08:00 所以谷歌到现在也没给 chrome 打上补丁( x |
 | 13 tabris17 2016-09-09 16:55:59 +08:00 1 这也能算漏洞??? |
 | 14 ragnaroks 2016-09-09 16:58:12 +08:00 百度就有,经常接到报告"百度中毒了,自动跳到博彩" |
 | 15 est 2016-09-09 17:03:48 +08:00 从来都是 cmd + 点击。从来没中过这招。。。。 就大陆用户特别喜欢网站自己提供 target="_blank" |
| 16 est 2016-09-09 17:04:21 +08:00 1 告诉你们 iframe 也有这个「漏洞」 你们是不是要吓尿了。 |
 | 17 initialdp 2016-09-09 17:04:48 +08:00 我觉得只要网站启动了 HTTPs ,这个所谓漏洞就应该只是浮云吧。 |
 | 19 cai314494687 2016-09-09 17:24:11 +08:00 |
 | 20 YvesX 2016-09-09 17:53:06 +08:00 Google 表示锅在浏览器,并且没有给 Chrome 解决这个问题…… |
| 21 initialdp 2016-09-09 17:54:18 +08:00 @kera0a 我没表达清楚,我的意思是:要利用这个漏洞,黑客要么( 1 )污染或者拦截 HTTP 内容 ( 2 )或者直接黑掉网站来修改内容。 如果是( 2 )黑掉网站,那这个漏洞其实有没有都已经无所谓了。 如果是( 1 )污染网页内容,我想 HTTPs 足以防止这种情况。 对于其他情况,例如在 V2EX 的答复中贴伪造的链接,有没有这个漏洞都应该警惕指向外部的链接。 所以总体上,我觉得这个漏洞是浮云。 |
 | 22 jasontse 2016-09-09 18:00:18 +08:00 via iPad 讲道理这个问题应该浏览器背,不应该允许跨域操作。 |
| 23 jasontse 2016-09-09 18:04:34 +08:00 via iPad 1 @initialdp 不要 123 的,如果 9L 的链接神不知鬼不觉把源页面带到一个非常像 V2EX 的钓鱼网站会怎么样。 |
 | 25 anyclue 2016-09-09 18:05:32 +08:00 target="_blank"本来也不符合标准,应该用 rel="external" http://www.w3cn.org/article/tips/2005/107.html |
 | 26 kera0a 2016-09-09 18:07:24 +08:00 @initialdp 例如发个微博,然后用什么东西诱惑你点击, 点微博 tab 标签 回来后发现微博没登陆(已经跳转到钓鱼网站) 然后因为是自己输入的微博地址,所以警惕性很低 ,然后就登陆了,然后密码泄露。 |
 | 27 Quaintjade 2016-09-09 18:26:01 +08:00 via Android @initialdp 原文提到了, UGC 网站的用户正常发内容就可以利用这个漏洞,并不需要一般意义上的劫持或黑掉网站。 |
 | 28 harker 2016-09-09 18:43:23 +08:00 我之前看有人做百度优化的搞这个,覆盖来源的搜索页面,是有点不道德 |
 | 30 kn007 2016-09-09 22:26:41 +08:00 这应该说是浏览器的问题。话说如果没有_blank 就无事的话,其实很多人都无事。 |
 | 31 qgy18 2016-09-10 00:46:12 +08:00 via iPhone |
 | 32 ranran 2016-09-10 00:53:56 +08:00 |
 | 33 sudo123 2016-09-10 01:17:44 +08:00 666 ,浏览器禁用 js 就行了 |
 | 34 maskerTUI 2016-09-10 01:30:04 +08:00 我也觉得不算是漏洞 |
Select Language