clickjacking:点击劫持
点击劫持(clickjacking)是什么?
点击劫持(clickjacking)是一种将恶意代码隐藏在网站中明显的按钮或其它可点击内容下的技术。
下面我们在很多可能的场景中举一个例子:到网站的一名访客认为他正在点击关闭窗口的按键,相反地,点击“X”键的行为促使电脑下载木马(Trojan horse)、转移银行账户里的我或者打开电脑的内置话筒。这个托管网站可能是被劫持的合法网站或某些知名网站的盗版。攻击者通过链接或邮件信息骗取用户来访问该网站。
研究人员Jeremiah Grossman和Robert Hansen发现了这个漏洞。他们是这么描述这件事的:
试想下那些能让你进入浏览器墙、银行电汇、推荐按键、CPC广告横幅、Netflix队列的所有网站的所有按键,不管是内部的还是外部的,这个清单几乎是无限长的,且相对来说这些例子都是无害的。下一步,考虑如果攻击可以无形地隐匿在用户点击的按键下,所以当他们点击他们看到的东西时,实际上他们已经点击了攻击者想让他们点的东西。如果说你有一个家用式无线路由器,那么你就有了通过认证的浏览网站优先权。恶意代码可能在你要点击的内容中置入一个标签,在一个简单按键中设计一个路由命令,如删除所有防火墙规则。
据说它由浏览器软件中的组成缺陷引起并会影响IE、Firefox、Safari和Opera。事实上,只有Lynx一类的非GUI浏览器受到保护,仅仅是因为这些界面中没有东西可点击。
根据Hansen所说,点击劫持(clickjacking)有多种变体:“其中有些需要跨域访问,有些不需要。有些在一个页面上覆盖整个页面,有些用内置页框来让你点击一点。有些需要Java脚本语言(JavaScript),有些不需要。”
Facebook是常常发生点击支持(clickjacking)的场所。这里举一个更新状态的例子:“我的天,这家伙在对他前女友有复仇心时就有点过了。”用户点击的这个链接用仿造的CAPTCHA呈现,它实际上链到Facebook上的“喜欢”和“分享”按键。当用户回应时,这个伪造的状态更新键将内容提交到他的Facebook页面,同时还发布他喜欢这个视频。在Facebook上,大部分点击劫持应用都是为了收集用户信息和传播垃圾信息,尽管也有一些钓鱼攻击报道出来。
Ken Harthun在他的Security Corner博客中建议,“针对现在的情况,不管你现在用的那种浏览器,每个人都应该马上让脚本和内置页框失效。火狐用户应该安装无脚本并设置‘插件|禁止内置页框’选项…我还建议,所有人都应该去看看US-CERT的《让浏览器安全》一文来确保已经最大可能地防止了这个及其它安全风险。
最近更新时间:2010-12-22 翻译:徐艳EN
相关推荐
-
IE8的安全新功能
微软官方发布了IE 8,其中包含了一些新的安全功能,可以改善隐私性和防御钓鱼攻击和跨站脚本攻击的功能……
-
Adobe更新Flash Player 修复clickjacking等漏洞
Adobe更新了很受欢迎的Flash Player,修复的漏洞可以允许攻击者执行任意代码并控制电脑。漏洞出现在Flash Player的10.0.12.36和更早的版本中……
-
新版Adobe Flash Player解决clickjacking攻击
Adobe Systems Inc.周三发布了广泛使用的Flash Player更新,解决著名的Clickjacking问题和一直困扰终端用户的Clipboard攻击……
-
关于Clickjacking攻击
最近到哪里都能见到“Clickjacking”。发现漏洞的两个安全研究专家已经略透露了一点相关信息以显示该安全威胁的严重性。到底什么是Clickjacking?