Clickjacking：綁架Click執行惡意程式

woff

新出現一種瀏覽器攻擊手法，駭客能偷取使用者滑鼠點閱的確認動作，來暗中執行惡意
程式，可用防護iframe攻擊的方式，來防護Clickjacking。



最近出現了一種新型態的瀏覽器攻擊手法，駭客能夠綁架使用者觸發確認按鈕的滑鼠
（click）點擊動作，來暗中觸發惡意程式的執行。資安專家將這種方法稱為
Clickjacking（點擊綁架），問題波及所有瀏覽器，包括微軟新版IE 8.0、Firefox 3.
0與最新出爐的Google Chrome等，無一倖免。國外已實際利用此技術做出一個示範的網
路遊戲。當使用者瀏覽遊戲畫面時，實際上已被暗中打開網路攝影機，偷拍使用者活
動。

上個月，WhiteHat Security技術長Jeremiah Grossman首度揭露了這個攻擊手法
Clickjacking（點閱綁架）。這個安全漏洞讓駭客能夠控制使用者滑鼠的點閱動作，他
在部落格中表示，幾乎所有瀏覽器都無法倖免，包括微軟新版IE 8.0、Firefox 3.0、
Apple Safari、Google Chrome等，甚至連Youtube最常使用的Adobe Flash Player也有
相同的問題。

這個攻擊手法利用HTML語法所支援的某些特殊內嵌物件（例如Opaque物件）來隱藏使用
者進行滑鼠點閱時的行為。使用者點閱網頁畫面時，就可能在不知情的情況下，點選了
另外一個隱藏的按鈕，暗中執行了對使用者系統有安全威脅的指令或惡意程式。

Jeremiah Grossman指出：「使用者可能在不知不覺中，就點下了打開麥克風和網路攝
影機的確認按鈕，讓自己在電腦前的一舉一動，都被傳送到遠端網頁中偷錄下來。」

上周Adobe已發表了緊急的防護建議，提供企業如何關閉Flash Player上麥克風與攝影
功能的方法，並於本周推出Flash Player 10新版來修正。

而Firefox瀏覽器外掛元件NoScript的作者Giorgio Maone，也迅速在NoScript 1.8.2.1
新版中，增加一個ClearClick功能，能夠即時警告使用者，是否在無意間透過滑鼠或鍵
盤與網頁互動，或者點選了網頁上的按鍵，讓使用者可以藉此防堵Clickjacking的攻
擊。

NoScript外掛元件只支援Firefox，其他瀏覽器則還未針對Clickjacking提出修補程
式。目前，國外多數資安專家則建議使用者直接關閉Javascript功能，方能徹底確保安
全。

大砲開講部落格站長邱春樹建議：「可以用防護iframe攻擊的方法，來防護
Clickjacking攻擊。」他解釋，駭客發動這兩種手法的條件是相同的，使用者必須瀏覽
有Clickjacking程式的惡意網站，才會發生問題。因此，他認為，企業只要在瀏覽器中
禁止iframe與Javascript的執行，或者限制使用者只能在企業內網使用，就可以有效預
防Clickjacking。

共同發現Clickjacking漏洞的SecTheory執行長Robert Hansen將於10月底來臺參加第二
屆OWASP亞洲資安年會，預定在會議中全球首度公開最新惡意網頁攻擊手法
Clickjacking的攻擊細節。文⊙王宏仁

abcdefg

我頂啊。接著頂  

ciedt

謝謝大大的分享啊！

CARCOKIN2006

HOHO~~~~感謝分享~~  

pop123

幫你頂，人還是厚道點好  

hhoel

好帖，确实好帖！