Clickjacking 难道是这个东西?
10月16日更新:根据这几天出来的信息,Clickjacking果然就是利用分层的原理,诱骗用户点击。实际操作中,可分成两类,一是通过Flash控制本地资源,二是通过设置透明iframe把用户行为影射到另一个网站上去。
第一种Flash的问题,最让人恐惧的莫过于被强制打开本机摄像头,Adobe已率先打了补丁,大家也可以到这个官方网页作全局关闭设置,国内的金山毒霸、360等都设立了专题;
至于第二种状况,因为是网页CSS标准之一,解决办法应该是没有的(除非禁用iframe),过门还是提醒一下吧,不要在任何网站保持登录状态,关掉网页应前先注销或退出,Clickjacking细节虽然还未完全公开,但已可见其巨大破坏力。
今早对此测试了一下QQ空间,发现毫无防备,他们应该还没注意到这个问题,哀哉!我仿佛又看见了N个搓揉QQ用户的方法。
9月26日原文:
跨浏览器攻击漏洞 Clickjacking , 最近开始被广泛报道,据说还能引起恐慌 (这里、这里、这里 和 这里)。
目前各种渠道透露出来的信息有两段
- 总的来说,当你访问一个恶意网站的时候,攻击者可以控制你的浏览器对一些链接的访问,这个漏洞影响到几乎所有浏览器,除非你使用 lynx 一类的字符浏览器。这个漏洞与 JavaScript 无关,即使你关闭浏览器的 JavaScript 功能也无能为力。事实上这是浏览器工作原理中的一个缺陷,无法通过简单的补丁解决。一个恶意网站能让你在毫不知情的情况下点击任意链接,任意按纽或网站上 任意东西。
- 比如在 Ebay,因为可以嵌入 JavaScript,虽然攻击并不需要 JavaScript,但可以让攻击更容易进行。只用 lynx 字符浏览器才能保护你自己,同时不要任何动态的东西。该漏洞用到 DHTML,使用防 frame 代码可以保护你不受跨站点攻击,但攻击者仍可以强迫你点击任何链接。你所做的任何点击都被引导到恶意链接上,所以,那些 Flash 游戏将首当其冲。
上文对于Clickjacking的描叙,主要有以下几个特征:
- 网站必须被注入代码(挂马)
- 与 JavaScript 无关
- 该漏洞用到 DHTML
- 所做的任何点击都被引导到恶意链接上
这四点刚好,和上一年在MySpace发现的诱骗方式相当吻合,难道所谓的Clickjacking就是这段代码?
<a href="你想链接的地址" mce_href="你想链接的地址" style="position:absolute; left:0px; top:0px; padding:1000px 1000px 1000px 1000px;"> </a>
这里有人列出了一些相关的猜想, 但需要用到javascript。
最后,我觉得,一个被挂马的网页,本身就是不安全的,如何把马去掉才是最主要的,通过修补浏览器漏洞来解决挂马的问题,不是一个解决的办法。
