Clickjacking攻击细节发布

【TechTarget中国原创】clickjacking攻击的细节已经发布了,而且已经证明这个问题会影响大量的软件,包括Adobe Flash、IE8和Firefox。

  这种攻击是在上个月发现的。它可以使攻击者采用很多方法欺骗用户点击恶意链接,包括整个网页的覆盖图、恶意iFrmae的使用,甚至完全关闭Flash中的安全保护。受到攻击影响的厂商都正在进行修复,但是发现攻击的研究人员在概念证明对Web的一种攻击后,在周二晚上发布了细节。

  应用安全研究人员Robert Hansen和WhiteHat Security Inc.的CTO Jeremiah Grossman在博客中写下了clickjacking攻击的细节。有很多进clickjacking攻击的方法,而且并不是所有的方法都需要JavaScript或者跨站请求伪造(CSRF)。

  Hansen 写到:“首先,我要说明clickjacking有很多种变形。有些要求跨域访问,有些不需要。有些在一个页面上呈现所有页面,有些使用iFrame让你点击某个点。有些需要JavaScript,有些不需要。有些变形使用CSRF来预载良好的数据,有些不需要。Clickjacking不是这些案例中的任何一个,而是他们的综合。”

  Clickjacking的基本方法是它允许攻击者强制Web用户在想要点击良性链接的时候,点击到恶意链接。例如,Hansen和Grossman描述了这样一种情况:攻击者可以构建一个恶意的Web页面,用以在用户的电脑上安装rootkit或者其他恶意软件,然后用看起来无害的网页呈现所有页面,比如,其中一个就含有基于Flash的游戏。当用户点击页面上的各种链接和按钮的时候,实际上点击的是被攻击者控制的隐藏的链接。

  Hansen和Grossman还发现了一些攻击者可以用以安静地控制网络摄影或者麦克风在受害者的计算机上安装的方法。

  研究人员确定的很多问题都包含Flash的使用。在Mac OS X上的 Firefox和IE 8 beta版本中的Flash 出现了不同的问题。Hansen 在博客中说,Adobe将在Flash10的更新中解决Flash的漏洞,而Mozilla已经在最近发布的附件中的NoScript plug-in中修复了这个问题。

  在攻击的细节发布之前的一次采访中,Grossman说如果提前知道了他们使用的各种方法,他们的潜在威胁就会打折扣了。

  Grossman 说:“这个问题很久前就知道了。Web安全团队知道它的存在,但是一直都在很大程度上低估了这种攻击和它的潜在威胁。浏览器的厂商知道这个问题。但是他们不知道如何解决这个问题。这不是个简单的补丁。他可能是浏览器安全模式的再构建。它不仅是Adobe的缺陷,而且会影响到每一个人。”