👏

rel=noopenerをつけないサイトへの攻撃デモ

2021/09/18に公開

この記事では rel=noopener"をつけないとどんなことができるのかをデモで示します。

noopener の攻撃デモ

リンク: https://tools.anozon.me/noopener

<a href="/noopener-attacker" target="_blank">
  noopenerをつけていない危険なリンク
</a>
<a href="/noopener-attacker" target="_blank" rel="noopener">
  noopenerをつけているリンク
</a>

noopener をつけていない危険なリンクから開いてパスワードフォームにタイプしてみます。

入力内容が攻撃者に丸見えですね。

攻撃サイト側のコード

window.opener.document でアクセスもとの document にアクセス出来てしまいます。怖いですね。

window.opener.document
  .getElementsByTagName('input')[0]
  .addEventListener('input', (e) =>
    // console.log(e.target.value)
  )

window.opener なんてめったにつかわないので デフォルトにしてくれたほうが楽そうですね。

GitHubで編集を提案

Discussion