MySpace发现新的诱骗方式
有人发现了一种方法,可以让用户不知不觉的,点击进入某个网站,这种方法不使用iframe,而仅仅只需在网页的中任何位置,包含这么一段代码:
<a href="你想链接的地址"
style="background-image:url(网页快照图片地址); position:absolute; left:0px; top:0px; height:8000px; width:1000px; "></a>
因为很多的网页模板编辑器都不会对<a>中的内容进行过滤,所以相对于iframe来说,这种方式更容易获得成功。目前有很多可以被成功挟持的网页,其中就包括了MySpace。
工作原理
工作原理其实很简单:
css代码position:absolute让链接使用绝对位置,并默认覆盖其它网页内容,而height:8000px; width:1000px;设定了链接区域的大小,这里设定的大小是 宽1000像素、高8000像素,正好覆盖了整个网页。
当网页被8000乘1000这么大一个链接覆盖时,按下其中的任何地方,都只会链接到目标网页,诱骗的目的,也正在于此。
预防措施
我们浏览器的最下方有一个状态栏。当鼠标移动到网页中的链接时,状态栏会显示出链接指向的地址。而用这种方法挟持的网页,无论鼠标移动到网页的任何地方,状态栏都只会显示同一个网址。只要我们稍加留意一下,不要点击就可以了。
最早发现这种方法的人是 安全技术研究员 Roger Thompson,现在很多国外媒体都在报道这个事情,大家如有兴趣,可以参考这里、这里、这里、这里、这里、这里、这里、这里、还有这里。
相关YouTube视频地址,只有英文版的,如果网速太慢,建议下载后再看,这里有一些YouTube下载方法。
这点小事,被诱骗了怕什么,何况我根本不去ms和sb
MySpace许多网页被黑 流行歌星成攻击目标
11月10日消息,据外电报道,Exploit Prevention Labs(安全漏洞防御实验室)首席技术官Roger Thompson发现社交网络网站MySpace的许多网页被黑,其中包括美国著名歌手阿丽西娅-吉丝(Alicia Keys)的网页。阿丽西娅-吉丝是MySpace网站排名第四位的流行歌手。
Thompson在YouTube网站上发表了介绍这次黑客事件的内容。他还在自己的博客中详细介绍了MySpace网页被黑的情况。
访问这些被黑的网页将使访问者面临风险。如果网络用户没有使用最新的安全补丁,访问这些被黑的网页将使自己的电脑被安装恶意软件。Thompson在视频中解释说,黑客正在利用安全漏洞在后台安装恶意软件。
即使用户使用已经采用补丁的电脑也容易受到攻击。这些黑客发现一种把他们的恶意URL连接与网页上的非点击区域关联在一起的方法。这个结果是在具体的点击控件外部点击鼠标也会被解释为点击恶意的URL连接。
Thompson在博客中称,现在还不清楚黑客是如何实现这个功能以及这种攻击技术传播的范围有多大。
MySpace发言人没有立即对这个攻击事件发表评论。
哪弄那么多这里呀,看了就想一个广告,搞笑。
什么hack事件这个是。
position:absolute 在W3C里不兼容,我在FF里碰到过种情况,得回我的手快,马上就停了它。呵
...无注意到,多少受害者的结果,在这里显示了解决方法!
to 狂兄:看到您转载的文章,我才终于松了一口气。这么热闹的新闻,许多国内媒体都不报道,我还以为这条消息,已经被管制了呢,所以具体哪个网页我也没敢贴出来。
to Feng: 是techmeme, 那小子尽爱做这些事情。
to Heyi: 只是利用编辑器漏洞的小代码而已,还不到hack的层次。
to 秦爱: 原来早就有人在这么弄了,都是IE遗留的问题。
to sofish: 既然公开了,就不再是秘密,很多网站都在修正。
网易博客已经把position:absolute过滤掉了,呵呵,反应还真快!
旧版新浪博客还未解决。
搜狐博客使用一个又一个的iframe,absolute出不了格,侥幸逃脱。
我博客的css好像没这玩意。。
to 漫步: wp没这问题,呵呵!但如果自己想搞一下还是可以的。