- 회원들이 추천해주신 좋은 글들을 따로 모아놓는 공간입니다.
- 추천글은 매주 자문단의 투표로 선정됩니다.
Date 17/06/07 13:49:22
Name   Toby
Subject   탭 내빙(Tabnabbing) 보안 공격
인터넷을 오래 사용하셨던 분들은 대부분 피싱사이트의 존재와 위협을 알고 계실겁니다.

은행사이트 처럼 만들어놓았는데 보안카드 번호를 전부입력하라고 한다던가,
링크를 눌렀더니 naver.com가 아닌 never.com이 뜨면서 네이버 아이디 로그인 창을 보여준다던가 하는거요.

그때 순진하게 요구하는 정보를 입력하면 그 정보는 홀라당 털리게 되는거죠.
하지만 사용자들이 이에 대해서 어느정도 사전 정보가 있고 경각심을 갖고 있기 때문에 그런 위협으로 인한 피해가 크지는 않습니다.

이 글에서 소개할까 하는 탭 내빙(Tabnabbing) 공격도 위에서 설명한 피싱사이트와 유사한데요.
우리가 흔히 생각하는 보통의 경우는 링크를 클릭 했을 때 새 창이나 새 탭으로 피싱사이트가 뜨지요.

탭 내빙 공격의 다른 점은 새 창이나 새 탭을 띄우면서 동시에 링크가 포함되어있던 부모창의 문서를 피싱사이트로 바꿔치기한다는 점입니다.
자바스크립트에는 window.opener라는 속성이 있어서, 새 창으로 뜬 자식창이 부모창을 다른 문서로 바꿔치는게 아주 손쉽게 가능합니다.

예를 들어보겠습니다.

메일을 확인하러 네이버에 들어갑니다.
눈에 띄는 메일이 있어 클릭합니다.






아니 나도 이제 고수가 될 수 있다니!
두근 거리는 마음으로 클릭했더니 별볼일 없어 보이는 이상한 사이트가 뜹니다.
흥미가 떨어져서 페이지를 닫아버렸습니다.

그런데 페이지가 아래처럼 바뀌어있는겁니다.






얼핏보면 네이버 메일 페이지에서 로그인이 풀린 것 처럼 보입니다.
그런데 자세히 보시면 상단 주소가 naver가 아닌 never로 되어있는 것을 볼 수 있습니다.
피싱 사이트인거죠.

이 상태에서 '로그인이 풀렸나보네'라고 순진하게 아이디와 비번을 넣으면 여러분의 네이버 아이디는 털리게 되는겁니다.


다행히 이러한 Tab nabbing 공격은 웹사이트에서 조금 더 신경을 쓰면 피해를 방지하는게 가능합니다.
지메일이나 트위터같은 글로벌 서비스들은 각 링크에 대한 점검과정을 거쳐 위와 같은 탭 내빙 공격이 먹히지 않도록 처리를 해놓았습니다.
그런데 Daum, Naver에서는 아직 이 대비가 안되어있더군요.
이런 보안 이슈가 알려지면 시간이 지나면서 업체들도 관련된 보안 강화를 하리라고 예상합니다만, 그 전까지는 사용자 차원에서 먼저 주의를 할 필요가 있을 것 같습니다.

* 수박이두통에게보린님에 의해서 티타임 게시판으로부터 게시물 복사되었습니다 (2017-06-19 09:07)
* 관리사유 : 추천 게시판으로 복사합니다.



12
  • 이런 공격을 처음 알았습니다.
  • 망해라, 이과.


목록
번호 제목 이름 날짜 조회 추천
1258 IT/컴퓨터(장문주의) 전공자로서 보는 ChatGPT에서의 몇 가지 인상깊은 문답들 및 분석 9 듣보잡 22/12/17 4136 19
1242 IT/컴퓨터망사용료 이슈에 대한 드라이한 이야기 20 Leeka 22/09/30 4103 9
1230 IT/컴퓨터가끔 홍차넷을 버벅이게 하는 DoS(서비스 거부 공격) 이야기 36 T.Robin 22/08/08 4090 25
1141 IT/컴퓨터변화무쌍한 웹 기술 역시 톺아보기 - 1 16 nothing 21/11/05 4507 10
1082 IT/컴퓨터우리도 홍차넷에 xss공격을 해보자 19 ikuk 21/04/20 5502 14
1079 IT/컴퓨터<소셜 딜레마>의 주된 주장들 9 호미밭의 파스꾼 21/04/06 4771 13
1056 IT/컴퓨터주인양반 육개장 하나만 시켜주소. 11 Schweigen 21/01/24 5860 40
759 IT/컴퓨터컴퓨터는 메일을 어떻게 주고 받을까? 13 ikuk 19/01/18 7736 17
727 IT/컴퓨터인터넷 뱅킹, 공인인증서를 사용하지 않아도 안전할까? 31 T.Robin 18/11/07 7421 10
692 IT/컴퓨터Gmail 내용으로 구글캘린더 이벤트 자동생성하기 8 CIMPLE 18/09/06 6504 6
593 IT/컴퓨터금융권의 차세대 시스템이 도입되는 과정 41 기쁨평안 18/02/13 10672 26
570 IT/컴퓨터정보 기술의 발달이 지식 근로자에게 미친 영향에 대한 추억 11 기쁨평안 18/01/03 9675 23
568 IT/컴퓨터아마존이 만든 사고를 역이용한 버거킹의 혁신적인 광고 7 Leeka 17/12/29 9349 19
558 IT/컴퓨터'옵션 열기'의 정체 16 Toby 17/12/07 11752 37
529 IT/컴퓨터뱀은 다리를 가지고 있다구 16 Toby 17/10/16 7908 11
520 IT/컴퓨터애플의 새로운 시스템, APFS 이야기 15 Leeka 17/09/28 9736 5
502 IT/컴퓨터컴쫌알이 해드리는 조립컴퓨터 견적(2017. 9월) 25 이슬먹고살죠 17/08/29 9333 23
480 IT/컴퓨터재미로 써보는 웹 보안이야기 - 1 19 Patrick 17/07/25 6901 7
447 IT/컴퓨터탭 내빙(Tabnabbing) 보안 공격 10 Toby 17/06/07 8868 12
374 IT/컴퓨터컴알못의 조립컴퓨터 견적 연대기 (1) 배경지식, 용도결정 편 6 이슬먹고살죠 17/02/23 8530 12
319 IT/컴퓨터회귀신경망으로 만든 챗봇 11 Azurespace 16/12/07 10354 8
297 IT/컴퓨터신경망 학습의 틀을 깨다, DFA 15 Azurespace 16/11/06 9668 10
274 IT/컴퓨터컴퓨터는 어떻게 빠르게 검색을 할까 - 보이어-무어-호스풀 알고리즘 18 April_fool 16/10/04 14549 1
236 IT/컴퓨터어느 게임 회사 이야기 (1) 26 NULLPointer 16/07/19 22080 29
179 IT/컴퓨터100점짜리 단어를 찾아서. 30 April_fool 16/04/05 11515 15
목록

+ : 최근 6시간내에 달린 댓글
+ : 최근 12시간내에 달린 댓글

댓글