Wikipedia对此不是很明确,


该漏洞利用脚本在无人看管的情况下,假扮成知名网站,使用脚本重写了一个普通兴趣的页面。


什么是“踩n”,这是怎么做的?

#1 楼

Tabnabbing是一种网络钓鱼技术,其中恶意网站在Tab处于非活动状态时会更改其外观,以诱骗用户输入凭据。

此页面同时是描述和演示。当您访问它时,它显示了什么是踩tab的描述。当您单击另一个选项卡时,它会将选项卡的图标和标题更改为类似于Gmail。稍后,当用户想要阅读她的邮件时,她会转到该选项卡,认为它是Gmail,然后输入她的凭据。

编辑:

在此动画中,您会看到我正在阅读SE,该标签最初看上去在后台无害更改,看起来像Gmail。这样,页面会试图欺骗我提交我的凭据。



评论


自2015年以来,您提供的演示页面似乎有些破损。

–狗吃猫世界
16年9月8日在12:24

实际上,Gmail的屏幕截图不再显示。

– Sjoerd
16年8月8日在13:05

丢失了5分钟等待网站图标更改,然后我想起了已启用NoScript -.-

–巴库留
16年8月8日在15:30

只是关闭完成的选项卡而不是让它们堆积的另一个很好的理由。

– Shelby115
16年9月8日在17:20

这是Eitan Adler创建的更有效的演示,它使用元刷新来打开演示网络钓鱼页面。

–丹尼尔(Daniel)
16年8月8日在18:43

#2 楼

它是通过Web浏览器进行的一种社会工程攻击。要求您访问一个恶意页面,该页面只有在切换到另一个选项卡并返回时才会加载。周围有一些工具可以做到这一点。最适合我的是Social Engineering Toolkit。它预装了Kali Linux以及其他有用的玩具。