点击劫持:极具威胁的跨浏览器攻击漏洞

ZDNet安全频道原创翻译 转载请注明作者以及出处

点击劫持（Clickjacking）可以让用户在自身不知情的状态下访问恶意网站或者安装恶意间谍工具。因此，为了保证系统的安全，我们需要了解点击劫持的工作原理和运行过程，以便采取防护措施避免被攻击。
--------------------------------------------------------------------------------------------

是来自TechRepublic社区的保罗·马第一个在安全新闻综述中提到点击劫持这种类型攻击。同时，SecTheory公司的创始人、安全研究专家罗伯特·汉森和WhiteHat Security安全公司的首席技术官耶利米·格罗斯曼在对Adobe公司之类的主要浏览器开发情况进行讨论的时间，并没有说明该类型攻击的相关细节。在这里，我赞赏他们的决定，因为这是一个负责任的行动，可以让开发者有时间解决问题。

什么是点击劫持（Clickjacking）？

点击劫持利用的是这样一个事实，即网页不仅是二维形式的。网页上可以有虚拟层的存在，这就是点击劫持为什么会存在的原因。点击劫持可以利用嵌入在网页中的代码，改变响应的结果。在下面由研究人员演示的例子中，你可以看到点击劫持是如何实现其目的的：

“首先，我们要了解这样一个事实，点击劫持包括了很多种类型的变种。其中一些需要跨网域存取的支持，而其它类型的则不需要。一些采用了覆盖整个网页的方式，而另一些采用了在最显眼位置设置内置页框诱惑你点击的方式。一些需要JavaScript的支持，另一些则不需要。一些变种利用了跨站请求伪造（CSRF）以便预先加载相关的数据，而另一些则不用。总的来说点击劫持包括了上面说到的各种情况，但它们不会在同时都出现。这就是为什么我们必须为它起个新名字。象不支持跨站请求伪造的点击劫持应该给予新的命名，以避免造成混乱。”

就以我在网络银行帐户上进行操作为例说明受到点击劫持攻击的时间会出现什么情况。这时，只要我点击一下按钮就可以进入帐户。唯一的问题出现了，按钮的回应并没有将我带入帐户，而是进入了一个看起来象我的帐户的页面或者进行了一个和我预期的完全不同的运行。罗伯特·汉森举了一个非常有趣的例子来说明，点击劫持可能造成什么样的后果。

“如果你使用了家庭无线路由器，在访问真正的网站时就需要进行认证。而攻击者可以利用页面按钮中的隐藏代码在你点击的时间控制路由器，下面就可以进行类似删除所有防火墙规则之类的操作。这样的话，他们就可以方便地进行网络攻击了。”

第二个例子的破坏更大，因为攻击者不用担心模仿或攻击真正的网站。

在摄像头里微笑的你

你可能不知道为什么我在文章的前面会提到Adobe公司。原因很简单，他们也存在这种类型的问题。Flash Player播放软件也存在漏洞，可能导致来自点击劫持的攻击，进行间谍活动的攻击者可能打开用户计算机上的摄像头和麦克风进行信息窃取的工作。

这个漏洞已经在网络中开始流传了；Flash的开发者盖伊·Aharonovsky就在Guya.net网站上发布了一个概念验证（PoC）的模型。目前这个实际演示已经停止使用了，但描述攻击的原理的视频还可以观看。在盖伊的网站上还有几条来自其它被引用文章关于点击劫持攻击有趣的评论。

TechRepublic编辑塞莱娜·弗莱在最近的一篇文章《Flash Player 10在Linux 和Mac OS系统上表现的更好》（英文材料）中提到了新版本为什么具有重要意义的几个原因。由于Adobe公司最近增加了清除点击劫持漏洞的代码，因此Flash Player 10也相当地重要。实际上，安全性公告中已经可以看到，在2008年10月15日已经发布了“弥补安全性漏洞的Flash播放器可用更新”。Adobe公司指出，升级到10版本的Flash Player播放器是防范攻击的唯一办法。如果你想了解自己计算机上的Flash Player播放器是不是最新版本，请访问Flash Player的官方网站。

点击劫持攻击的更多细节

按照Adobe公司的要求，直到更新补丁发布，格罗斯曼和汉森先生才能公开发布漏洞的详细信息。现在盖伊的网站已经有了相关的概念验证模型，Flash Player 10也已经发布了，研究人员现在没有任何理由不对漏洞的详细情况进行讨论了。在ha.ckers.org网站上你可以找到所有的十二个问题。

如何消除漏洞？

Flash Player 10已经进行了更新。对于网络浏览器来说，看起来也更加困难。如果你使用的是Firefox浏览器，我建议升级到第三版（Firefox 3.x.x）并安装所有最新的补丁。你还记得我在前面提到过NoScript。来自NoScript公司的开发者乔治·马万一直在和格罗斯曼先生联系，因此，它们的产品几乎可以防止所有情况下的点击劫持攻击。现在唯一的问题是，NoScript不是那么的简单，大部分用户使用起来不是很方便。

对于其它类型的浏览器，乔治·马万在他的Hackademix.net网站上一篇文章《点击劫持和其它类型的浏览器（IE、Safari、Chrome和Opera）》中对如何防止对IE、Safari、Chrome和Opera等类型浏览器的点击劫持攻击进行了说明。

最后的思考

由于这只是初步的讨论，所以点击劫持究竟会造成什么样的后果是难以预料的。但大多数专家认为点击劫持是一个大问题，只有通过重新设计浏览器才能解决。汉森先生提出的问题我认为是更令人担忧的：

“杰里和我在对点击劫持进行研究的时间，发现了各种各样的随机浏览器错误，成千上万的漏洞以及缺陷。里面的很多种情况和点击劫持没什么关系。但其他研究人员开始分析点击劫持的时间，他们将会找到自己感兴趣的错误。”

这不是一个非常欣慰的思考，但我很高兴他们正在进行相关的研究。