科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道危险Clickjacking漏洞让你做黑客帮凶

危险Clickjacking漏洞让你做黑客帮凶

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

日前,一个非常可怕的跨浏览器攻击漏洞Clickjacking正在逐渐显露在人们面前。通过这个Clickjacking漏洞你会在毫不知情的情况下“帮助”黑客“控制”你计算机上的摄像头和麦克风。

作者:赛迪网 来源:赛迪网 2008年10月13日

关键字: 漏洞 黑客 Clickjacking

  • 评论
  • 分享微博
  • 分享邮件
 

日前,一个非常可怕的跨浏览器攻击漏洞Clickjacking正在逐渐显露在人们面前。通过这个Clickjacking漏洞你会在毫不知情的情况下“帮助”黑客“控制”你计算机上的摄像头和麦克风。

这个Clickjacking漏洞具有及其良好的跨平台性,能够影响所有主流桌面平台包括IE、Firefox、Safari、Opera 以及 Adobe Flash。

这个被称为 发现这个Clickjacking漏洞的是Robert Hansen与Jeremiah Grossman两名安全研究专家,从他们已经透露的一点相关信息来看,这个安全危险相当严重。

考虑到这个漏洞的高度危害性,经Adobe等厂商请求,OWASP NYC AppSec 2008大会将暂不对其进行公布。

什么是Clickjacking?

在中文里,Clickjacking可以翻译为“点击劫持”,而国外资料里对其的解释是“UI redress vulnerabilities(界面伪装漏洞 )”。

据参加OWASP半公开演示的人士介绍,这个漏洞与JavaScript无关,却能影响所有浏览器。

简单的说Clickjacking是一种攻击,是一种新型的WEB方式攻击。其中所涉及到的“Flash Player漏洞”,其实只是Clickjacking安全漏洞的一种表现形式,黑客可以通过一个简单的Flash游戏控制用户的摄像头或麦克风。

Clickjacking漏洞原理解析

在一个已经公布的Clickjacking Demo演示程序中我们不难发现Clickjacking的内涵。

在你可控制的页面A内有一个iframe,iframe的src链接到另一个域的页面B。设置这个iframe的CSS样式的透明度为0,并设置其CSS样式的z-index比页面A的其他元素的z-index大。这个iframe的Width与Height值都设置为足以保证用户可以点击到其中内容(页面B的内容)的大小。然后在页面A上放置一些按钮、链接等可以欺骗用户点击的元素,这些元素在iframe之下(z-index值决定),并恰好与 iframe的页面B内的关键元素在同一个位置。于是当用户被欺骗去点击页面A内的这些元素时,实际上点击了页面B内的关键元素,这些元素可以是:删除按钮、添加按钮、单选框、请求链接等等。再加上一些社会工程学技巧,这类攻击方式可以进行得非常巧妙。

这种Clickjacking漏洞攻击基于DHTML技术,用到了iframe,而且这样的攻击方式不一定需要JavaScript。虽然使用防iframe代码可以保护你不受跨站点攻击,但攻击者仍可以迫使你点击任何其指定的链接。

类似的欺骗还有——onMouseUpJacking、FormJacking、SubmitJacking——点击劫持。

如果黑客精心设计Clickjacking攻击页面,那么无论网页访问者进行正常鼠标点击还是无意间的鼠标点击动作,都可能会点击激发背后的隐形身影,而这个隐形身影则可以包括下载木马、打开摄像头等各类恶意行为。

据Hansen讲,他们已经同微软以及Mozilla谈论过这个问题,然而他们均表示这个问题非常棘手,目前没有简单的解决办法。Grossman更确切表示,微软最新的IE 8和Mozilla最新的Firefox 3均不能幸免。

那么除非你使用lynx一类的字符浏览器,同时不要任何动态的东西,这样才能保护自己。由于这个漏洞与JavaScript无关,所以即便你关闭浏览器的JavaScript功能也无能为力。事实上这是浏览器工作原理中的一个缺陷,无法通过简单的补丁解决。

解决方案

Adobe解决方案

Adobe对于Flash Player引起的Clickjacking漏洞作出回应,给出了临时解决方案,可以避免被黑客控制你的摄像头或者是麦克风。(Clickjacking漏洞影响AdobeFlash9.0.124.0之前的所有版本。)

To prevent this potential issue, customers can change their Flash Player settings as 
follows:
1.Access the Global Privacy Settings panel of the Adobe Flash Player Settings Manager at 
the following URL: 
http://www.adobe.com/support/documentation/en/flashplayer/help/settings_manager02.html 
2.Select the "Always deny" button. 
3.Select ‘Confirm’ in the resulting dialog. 
4.Note that you will no longer be asked to allow or deny camera and / or microphone 
access after changing this setting. 
Customers who wish to allow certain sites access to their camera and / or microphone can 
selectively allow access to certain sites via the Website Privacy Settings panel of the 
Settings Manager at the following URL: 
http://www.adobe.com/support/documentation/en/flashplayer/help/settings_manager06.html.

用户可以通过改变Flash Player设置来避免Clickjacking漏洞带来的安全威胁:

1.下面的网址是一个全球个人Adobe Flash Player设置管理模板,在这里可以对不同版本的Flash Player进行针对Clickjacking漏洞的安全设置:

http://www.adobe.com/support/documentation/en/flashplayer/help/settings_manager02.html

危险Clickjacking漏洞让你做黑客帮凶

2.打开上面的设置模板页面后,页面会判断你的Flash Player版本,并给出设置页面,选择里面的“始终拒绝”按钮。

危险Clickjacking漏洞让你做黑客帮凶

3.在弹出的窗口里选择“确定”按钮。

危险Clickjacking漏洞让你做黑客帮凶

4.注意:进行这个设置后,就无法允许或者拒绝对摄像机、麦克风的访问。

如果想允许某个特定站点上的内容访问摄像机或麦克风,请访问下面的网址,进入全球个人Adobe Flash Player设置管理模板:http://www.adobe.com/support/documentation/en/flashplayer/help/settings_manager06.html

危险Clickjacking漏洞让你做黑客帮凶

浏览器解决方案

Firefox 3的NoScript(1.8.2以上版本)插件可以防御Clickjacking漏洞攻击。NosSript也给出了ClearClick保护来防御Clickjacking漏洞可能造成的危害。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章