歡迎光臨
我們一直在努力

前端黑魔法之遠程控制地址欄

#Web 滲透與漏洞研究

今天分享一篇如何透過target的方式進行網站釣魚攻擊,也可以深入了解下”target="_blank" 與 “opener”的釣魚方式

原文出處:https://www.leavesongs.com/PENETRATION/use-target-to-spoof-fishing.html

波波觀點:前端安全也會影響信任邊界

target="_blank" 搭配 opener 的風險,是前端安全很好的入門案例。當新開啟的頁面可以透過 window.opener 影響原頁面時,攻擊者可能引導使用者回到偽造頁面,造成釣魚或信任混淆。這類問題提醒我們,前端連結與瀏覽器行為也屬於安全設計的一部分。

檢查與修補

  • 外部連結若使用 target="_blank",應加上 rel="noopener noreferrer"。
  • 使用者產生內容中的連結應經過過濾與安全屬性補強。
  • 重要登入、付款、後台流程應降低跨站導引與視覺欺騙風險。
  • 對外部連結保持清楚標示,避免使用者誤認仍在原站。

實務建議

WordPress 站台可以透過佈景主題、編輯器或外掛統一補上 noopener。若是自行開發前端,也應把連結安全納入 code review,避免把使用者導向不可控頁面時仍保留 opener 權限。

這個案例也適合拿來提醒前端開發者:安全問題不一定只在後端。瀏覽器 API、跨視窗互動、第三方連結與使用者導向流程,都可能形成攻擊面。

站內延伸閱讀

贊(0) 贊助
未經允許不得轉載:波波的寂寞世界 » 前端黑魔法之遠程控制地址欄

波波的寂寞世界

Facebook聯繫我們

覺得文章有幫助,歡迎贊助支持本站

感謝你的支持,我會持續整理資安筆記、實務經驗與有價值的技術內容。

贊助本站