탭내빙(Tabnabbing) 이란 HTML 문서 내에서 링크(target이 _blank인 태그)를 클릭했을 때 새롭게 열린 탭(또는 페이지)에서 기존의 문서인 location을 피싱 사이트로 변경해 정보를 탈취하는 공격 기술을 말한다.
이 공격은 메일이나 SNS와 같은 오픈 커뮤니티에서 사용 될 수 있다. 사용자의 클릭을 유도하여 웹 브라우저의 탭을 피싱 사이트로 이동시키는 기존의 피싱 기법과 달리 탭내빙(Tabnabbing)은 사용자의 페이지에서 아무런 행위를 하지 않아도 사용자의 눈을 피해 열린 탭 중 하나를 피싱 페이지로 로드한다.
[ 대응방안 ]
1) noopener 속성 추가
*noopener 속성은 헤더와 함께 참조자 정보를 보내지 않도록 하기 때문에 window.opener를 무효화 한다. 따라서 noopener 속성이 부여된 링크를 통해 열린 페이지는 window.opener를 통해 부모 탭을 참조할 수 없고, location과 같은 자바스크립트 요청을 거부한다.
<a href="http://example.com" target=_blank rel="noopener"/></a>
2) noreferrer 추가
noreferrer를 지정하여 noopener와 유사한 동작을 구현할 수 있는데, noreferrer는 링크를 통해 접근 시 포함된 referrer를 전송하지 않도록 하여 링크를 클릭하더라도 referrer 정보가 유출되지 않는다.
<a href="http://example.com" target=_blank rel="noopener"/></a>
3) nofollow 추가
nofollow는 사용 중인 브라우저에서 문서에 포함된 링크로 따라가지 않도록 지정하는 속성으로 모든 링크를 따라가지 않게 하려면 meta 요소에 nofollow를 지정하고 개별적으로 지정하려면 href 해당 요소에 지정한다.
<a href="http://example.com" target=_blank rel="nofollow"></a>Security & Intelligence 이글루코퍼레이션
보안정보 차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다. 전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는 차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.
www.igloosec.co.kr
'웹프로그래밍 무작정따라하기 > HTML CSS' 카테고리의 다른 글
| [ CSS ] scrollbar - 스크롤 바 스타일링 꾸미기 (0) | 2022.01.03 |
|---|---|
| [ html ] IE 호환성 보기 무시하기 (무조건 최신버전 적용) (0) | 2021.03.26 |
| [ CSS ] animation @keyframes 기본 이해하기 (0) | 2021.03.26 |
| [CSS] input의 radio css 스타일 변경하기 (0) | 2021.02.12 |
| [CSS] Naming Conventions 네이밍 규칙 (0) | 2020.06.16 |
댓글