Clickjacking:劫持你的网页点击

  • 时间:
  • 浏览:1





作者: CNET科技资讯网

CNETNews.com.cn

309-05-26 09:17:10

关键词: 网络威胁 Clickjacking 点击劫持

CNET科技资讯网5月26日国际报道 想从报摊上拿一份报纸,拿到的却是一颗石头,因为打开杂货店的大门,却发现另一方站在一艘船上。五种科幻电影的情节,正可用来说明目前最新、最严重的网络威胁。

Whitehat Security同时创始人兼首席技术官Jeremiah Grossman表示:大多数被蠕虫和攻击利用的软件漏洞都能修补,但跨浏览器攻击手法点击劫持(clickjacking)是网络运作方法 中既有的设计瑕疵。恶徒在某个使用者要我点击的东西上,叠入另一一三个白多多隐形按键…它都可不可以是任何网站之任何页面上的任何按键。

五种方法 被用在今年2月对Twitter发出的若干恶作剧攻击。其中另一一三个白多多案例,是使用者点入冒出在tweet旁边某个写着“别点”的链接,有以后在原先独立网页上点下同样写着“别点”的按键。第一三个白链接会将原先的tweet传送到该使用者的每个追踪者,越来太快了 了 地自我传播。

当时,Grossman还把它称作“无害的实验”,但有因为被恶意人士利用。但在上周的示范中,Grossman证明了有心人能利用Flash发动点击劫持攻击,在使用者无知觉的请况下,开启电脑的镜头,进行偷窥或监视。

顾名思义,点击劫持就说 我我在你不知情之下,劫持你的点击。搭配能针对特定网页、让浏览器视窗分成多个部份的iFrame,当使用者的鼠标点击到恶意iFrame隐藏的帕累托图,攻击随之发动。

攻击者能把恶意iFrame藏在任何网页的任何链接上(如纽约时报的新闻标题,或Digg的"digg this"按键),受害者以为另一方点的是网页上的链接,其实是隐藏的iFrame。Grossman示范中的iFrame,带有另一一三个白多多Flash自动冒出视窗,要求使用者同意打开网络镜头。受害者点击原先,镜头便会打开,并偷偷录下电脑前的一举一动。

点击劫持最骇人帕累托图之一,就说 我我它被滥用的因为。攻击者能偷窥或偷听你的行动,将你导向某个网页下载恶意内容,甚至诱使你在网络商店花钱买下一堆商品。更严重的是,终端使用者能自我保护的方法 非常有限。

Grossman表示,以网络镜头的攻击为例,使用者能作的就说 我我把镜头遮住,和关闭麦克风。Flash Player 10也提供若干防范不明要求对话窗的保护。或多或少专门为IE 8设计的网站,不都可不可以防范累似 攻击,但必须使用IE8进入那此网站才有用。

Grossman提醒,使用Windows和IE的民众应关闭JavaScript,不都可不可以防范点击劫持。Firefox较安全,该浏览器的NoScript附加元件不仅能选择性地阻挡指令,还有一项有点针对点阅绑架的ClearClick功能。使用完Facebook和Twitter累似 网站後,也应该执行登出。Grossman说:“那末登入就我不要 被迫在那此网站上执行任何动作。”