html で リンクを新しいタブ(やウィンドウ)で開かせたい場合、target="_blank" を指定するが、 この使い方には落とし穴があるらしい。 www.jitbit.com リンクを開いた先の javascript から、開いた元のページを操作できてしまうとのこと。 気になったので確認してみた。 悪用のパターン insecure.html が最初に開くページで、ここに target="_blank" なリンクがある。 このリンクを押すと new_window.html を新しいタブで開く。 この new_window.html に javascript が仕込まれており、元ページを操作されるという話。 具体的には window.opener.location="./evil.html" と実行すると、元タブは evil.html に遷移する。 実際試してみたのが ここ。 リンクを開
経緯 aタグにtarget="_blank"をつけると危険だよと言われたので、忘れないうちにメモメモ。 危険な理由 「リンクを開いた先のページでのJavaScriptによって、開いた元のページを操作できてしまう」 大抵のブラウザでは、 target=blank_によって"別タブで開かれたページ"が手前に表示され、 "元のページ"は裏に残る。 "別タブで開かれたページ"にて、 が実行されると、裏で"元のページ"が画面遷移される。 オリジンが違ったとしても、リンクをたどってきたユーザを任意のサイトに誘導することが可能。 ※ window.openerは、"別タブで開かれたページ"を開いた"元のページ"への参照を返すらしい。。。 window.opener フィッシング詐欺攻撃の例 リンクのへの rel=noopener 付与による Tabnabbing 対策 ESLint(eslint-plu
@UdemyJapan udemy会員のID/Password、受講コースが漏えいしています。早急に調査して下さい https://pastebin.com/v16FQCas #udemy — yasshi2009 (@yasshi2009) 2019年1月29日 Thank you for your message. Our Trust & Safety team has taken action on any associated Udemy accounts. We take these reports very seriously and thank you for your diligence in flagging this to us. — Udemy Japan (@UdemyJapan) 2019年1月29日 被害者です😭 不正ログインされ6000円のコースが勝手に購入
国によるIoT機器”侵入”調査、その名も「NOTICE」サイト公開 「不正アクセスではない」と理解求める 弱いパスワードを使ってIoT機器へのログインを試み、ログインできた機器のユーザーに注意喚起する試み「NOTICE」を、総務省が2月20日から始める。「国による事実上の不正アクセス行為では」といった批判もあるが…… ネットワークにつながったセンサーやWebカメラなどのIoT機器はサイバー攻撃に狙われやすいとし、対策として、弱いパスワードを使ってIoT機器へのログインを試み、ログインできた機器のユーザーに注意喚起する試み「NOTICE」を、総務省が2月20日から始める。 この試みについてネットでは、「セキュリティ対策として評価できる」など前向きにとらえる声がある一方、「事実上の政府による不正アクセスではないか」との批判も起きている。総務省は2月1日、専用Webサイトを開設。NOTICEにつ
トレンドマイクロは、主に中国で利用されているWebアプリケーション開発フレームワーク「ThinkPHP」で遠隔からのコード実行(Remote Code Execution、RCE)が可能になる脆弱性が、Miraiの新しい亜種「Yowai」および「Gafgyt」の亜種「Hakai」によって利用されていることを確認しました。これらのマルウェアは初期設定の認証情報を利用した辞書攻撃や脆弱性攻撃によって侵入し、感染したデバイスをボット化して「分散型サービス拒否(distributed denial-of-service、DDoS)攻撃」に利用します。YowaiおよびHakaiによる攻撃の急増が2019年1月11日から17日にかけて確認されています。 問題の脆弱性に対処する更新プログラムは2018年12月9日に公開され、続いて12月11日には「Proof-of-Concept(PoC、概念実証型エク
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く