TShopping

 找回密碼
 註冊
搜索
查看: 1842|回復: 5

[教學] Clickjacking:綁架Click執行惡意程式

    [複製鏈接]
發表於 2009-11-2 00:43:16 | 顯示全部樓層 |閱讀模式
 
Push to Facebook Push to Plurk  


新出現一種瀏覽器攻擊手法,駭客能偷取使用者滑鼠點閱的確認動作,來暗中執行惡意
程式,可用防護iframe攻擊的方式,來防護Clickjacking。



最近出現了一種新型態的瀏覽器攻擊手法,駭客能夠綁架使用者觸發確認按鈕的滑鼠
(click)點擊動作,來暗中觸發惡意程式的執行。資安專家將這種方法稱為
Clickjacking(點擊綁架),問題波及所有瀏覽器,包括微軟新版IE 8.0、Firefox 3.
0與最新出爐的Google Chrome等,無一倖免。國外已實際利用此技術做出一個示範的網
路遊戲。當使用者瀏覽遊戲畫面時,實際上已被暗中打開網路攝影機,偷拍使用者活
動。

上個月,WhiteHat Security技術長Jeremiah Grossman首度揭露了這個攻擊手法
Clickjacking(點閱綁架)。這個安全漏洞讓駭客能夠控制使用者滑鼠的點閱動作,他
在部落格中表示,幾乎所有瀏覽器都無法倖免,包括微軟新版IE 8.0、Firefox 3.0、
Apple Safari、Google Chrome等,甚至連Youtube最常使用的Adobe Flash Player也有
相同的問題。

這個攻擊手法利用HTML語法所支援的某些特殊內嵌物件(例如Opaque物件)來隱藏使用
者進行滑鼠點閱時的行為。使用者點閱網頁畫面時,就可能在不知情的情況下,點選了
另外一個隱藏的按鈕,暗中執行了對使用者系統有安全威脅的指令或惡意程式。

Jeremiah Grossman指出:「使用者可能在不知不覺中,就點下了打開麥克風和網路攝
影機的確認按鈕,讓自己在電腦前的一舉一動,都被傳送到遠端網頁中偷錄下來。」

上周Adobe已發表了緊急的防護建議,提供企業如何關閉Flash Player上麥克風與攝影
功能的方法,並於本周推出Flash Player 10新版來修正。

而Firefox瀏覽器外掛元件NoScript的作者Giorgio Maone,也迅速在NoScript 1.8.2.1
新版中,增加一個ClearClick功能,能夠即時警告使用者,是否在無意間透過滑鼠或鍵
盤與網頁互動,或者點選了網頁上的按鍵,讓使用者可以藉此防堵Clickjacking的攻
擊。

NoScript外掛元件只支援Firefox,其他瀏覽器則還未針對Clickjacking提出修補程
式。目前,國外多數資安專家則建議使用者直接關閉Javascript功能,方能徹底確保安
全。

大砲開講部落格站長邱春樹建議:「可以用防護iframe攻擊的方法,來防護
Clickjacking攻擊。」他解釋,駭客發動這兩種手法的條件是相同的,使用者必須瀏覽
有Clickjacking程式的惡意網站,才會發生問題。因此,他認為,企業只要在瀏覽器中
禁止iframe與Javascript的執行,或者限制使用者只能在企業內網使用,就可以有效預
防Clickjacking。

共同發現Clickjacking漏洞的SecTheory執行長Robert Hansen將於10月底來臺參加第二
屆OWASP亞洲資安年會,預定在會議中全球首度公開最新惡意網頁攻擊手法
Clickjacking的攻擊細節。文⊙王宏仁

 

臉書網友討論
發表於 2012-5-10 00:57:30 | 顯示全部樓層
我頂啊。接著頂  

版主招募中

發表於 2012-6-2 00:39:50 | 顯示全部樓層
謝謝大大的分享啊!


發表於 2012-6-2 00:48:39 | 顯示全部樓層
HOHO~~~~感謝分享~~  


發表於 2012-8-24 00:46:19 | 顯示全部樓層
幫你頂,人還是厚道點好  


發表於 2013-7-12 13:34:26 | 顯示全部樓層
好帖,确实好帖!


您需要登錄後才可以回帖 登錄 | 註冊 |

本版積分規則



Archiver|手機版|小黑屋|免責聲明|TShopping

GMT+8, 2019-8-20 14:50 , Processed in 0.058783 second(s), 17 queries .

本論壇言論純屬發表者個人意見,與 TShopping綜合論壇 立場無關 如有意見侵犯了您的權益 請寫信聯絡我們。

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回復 返回頂部 返回列表