2008-10-27

Clickjacking

  1. 群兆資訊的PP日記/ 【主旨】megapowerasia: 新的攻擊手法Clickjack ...

    2008-10-12 06:40:05. 【主旨】megapowerasia: 新的攻擊手法Clickjacking: Clickjacking 是一個新的惡意攻擊手法,而且目前各廠牌瀏覽器都還沒有修補的方案。 ...
    pp.url.com.tw/user/megapower/111812 - 4k - 頁庫存檔 - 類似網頁 - 加入筆記本
  2. 合作媒體- PChome 新聞

    隱身滑鼠之後的Clickjack... 高科技罪犯可能已經找到讓使用者在不知情之下,點選惡意軟... 本週科技大事:微軟發表Offic... 微軟台灣將在本週同時發表線上協作 ...
    news4.pchome.com.tw/media/zdnet - 40k - 頁庫存檔 - 類似網頁 - 加入筆記本
*

Clickjacking 是一個新的惡意攻擊手法,而且目前各廠牌瀏覽器都還沒有修補的方案。
參考以下資料:


簡單的說,大家都知道不明網站上的連結不要亂點,尤其出現問你「是否同意」、「確認、取消」的對話框時要特別注意。但這個漏洞則是利用 CSS 的排版技巧,用圖層去遮蓋連結。你可能只是在網頁上玩 Game,並在遊戲畫面上點來點去,結果你不知不覺點了「我同意」或是「確認」的按鈕。透過這個手法,駭客可以在你電腦中安裝軟體(因為你同意了嘛),也 可以看到你的webcam視訊畫面(因為你也同意了啊),也可以傳回你的私人資料(對,你還是同意了)當然還有很多很多可能。

如果想節省時間的朋友,可以直接看這段影片瞭解該手法實際應用時的樣子:Youtube

膽子大一點的可以實際體驗一下遭受攻擊的感覺:Camera ClickJacking - The Game

我剛剛試了一下 Firefox + NoScript 擴充套件,預設是不會被攻擊的。再進一步解決方法出現之前,建議大家可以先安裝 NoScript 套件,雖然上網會不方便些,但是相對的安全許多。

還有不要上不明的網站,也要小心常上的網站突然改變排版或突然問你很多問題。

*

專家警告「點閱綁架」漏洞讓瀏覽器無一倖免
文/陳曉莉 (編譯) 2008-09-29

Clickjacking讓駭客能夠誘導使用者點擊網頁上根本不引人注意的部份,但那可能是來自其他網頁的內容。


兩名資安研究人員在本周揭露了新的「點閱綁架」(clickjacking)漏洞,該漏洞類似跨站假要求(cross-site request forgery,CSRF),不過目前卻沒有任何防制clickjacking的有效方法,而且包括IE、Firefox、Safari、Opera及 Chrome等主要瀏器覽器無一可倖免於難。

發現此一嚴重漏洞的是WhiteHat Security技術長Jeremiah Grossman及SecTheory執行長Robert Hansen,他們原本要在上周舉行的OWASP AppSec 2008會議上討論此一漏洞,不過在相關業者的要求下延後公布漏洞細節。另一方面,美國電腦緊急應變小組(US-CERT)也對此發佈了警告

Clickjacking讓駭客能夠誘導使用者點擊網頁上根本不引人注意的部份,但那可能是來自其他網頁的內容。

Grossman在部落格中 表示,JavaScript惡意程式在使用者連到駭客掌控的網頁時,能夠竊取使用者的歷史資料、入侵企業網路、執行網路釣魚,以及植入蠕蟲等。而透過 clickjacking攻擊可做的事更多,根據他們所完成的概念性驗證程式以及與各界溝通後,他們相信,所發現的與一般網路瀏覽器行為較為有關,而非傳 統的攻擊程式。

Grossman及Hansen已與微軟、Mozilla、蘋果及Adobe討論此一漏洞,Adobe名列其中是因為有一概念性驗證程式是透過Adobe的產品進行攻擊。

Grossman指出,很難要求所有的網站更新以防範該漏洞,最好是由瀏覽器業者負責更新,包括最新版的IE8及Firefox 3皆受到該漏洞波及,而且目前所有瀏覽器皆未提供修補,現階段唯一可抵制該漏洞的方法是關閉瀏覽器的scripting及外掛程式功能。

關於此一漏洞更多的細節可望在Adobe發表更新程式之後揭露。(編譯/陳曉莉)

*
http://www.ithome.com.tw/itadm/article.php?c=51136
http://zh.wikipedia.org/wiki/Clickjacking

*

沒有留言: