研究人員演示“點擊劫持”惡意攻擊方法
近日一名計算機安全研究人員發(fā)布了一種新的基于瀏覽器的工具,可以用來發(fā)動新一代“點擊劫持”攻擊,本文我們將為大家揭曉這種新型點擊劫持攻擊方式。
點擊劫持是一種Web方式攻擊,通過誘騙用戶點擊包含隱藏按鈕的網(wǎng)頁的某些部分來執(zhí)行惡意程序,隱藏按鈕是通過隱形的iframe實現(xiàn)的,黑客則可以通過iframe將其他內(nèi)容載入目標(biāo)網(wǎng)站。如果是黑客精心設(shè)計Clickjacking攻擊頁面,那么無論用戶進行正常鼠標(biāo)點擊還是無意間的鼠標(biāo)點擊動作,都可能會點擊導(dǎo)致下載木馬程序等惡意行為。
發(fā)現(xiàn)點擊劫持漏洞的是兩名安全研究人員Robert Hansen與Jeremiah Grossman,他們在2008年發(fā)現(xiàn)攻擊者可以利用Adobe Flash的程序漏洞來遠程控制受害者的攝像頭和麥克風(fēng)。
自那以后,很多網(wǎng)站和瀏覽器供應(yīng)商都開始采取措施加強防御,但是仍有絕大多數(shù)網(wǎng)站并沒有意識到這個漏洞的危害,英國Context Information Security公司的安全顧問Paul Stone在近日舉行的黑帽會議上展示了四種新型點擊劫持攻擊,可以有效攻擊大多數(shù)網(wǎng)站和瀏覽器。
Stone演示的其中一種攻擊方式就是利用部署在所有瀏覽器中的拖放API(應(yīng)用編程接口)。只需要利用某種社會工程學(xué)手段,就可以讓用戶將某條目拖動至一個網(wǎng)頁中,而這就將導(dǎo)致文本被插入到字段中。
“這樣我們將可以做很多操作,”Stone表示,“你可以從用戶賬戶發(fā)送冒名電子郵件,也可以在文檔編輯系統(tǒng)編輯文件。”
Stone還演示了一種內(nèi)容提取點擊劫持攻擊,這種攻擊可以用來竊取用來驗證會話和防范CSRF(跨站請求偽造Cross-site request forgery)的令牌。在跨站請求偽造攻擊中,web應(yīng)用程序被欺騙至執(zhí)行來自惡意網(wǎng)站的請求。
Stone研發(fā)了一種開發(fā)人員可以用來嘗試新型點擊劫持技術(shù)的工具,請點擊此處下載。
這種工具是點擊式瀏覽器應(yīng)用程序,它有一個“可見的”重放模式來查看特定攻擊的執(zhí)行過程,還有一個“隱形”模式,可以從受害者角度觀察攻擊過程。該工具仍處于測試階段,適用于Firefox 3.6,Stone表示他們正在努力研究與其他瀏覽器的兼容性。
Stone最近發(fā)現(xiàn)有兩種針對瀏覽器的點擊劫持漏洞,其中一個在IE中,另一個在Firefox中,這兩個漏洞已經(jīng)被修復(fù),瀏覽器制造商也一直努力研究抵御點擊劫持的方法。
IE8、Safari 4及更高版本、Chrome2及更高版本已經(jīng)能夠識別一種被稱為X-Frame-Options的HTTP頭域,只要網(wǎng)頁附有此標(biāo)簽,瀏覽器就不允許網(wǎng)站包含在一個框架中,這也是點擊劫持攻擊需要的。Mozilla正在計劃將此功能添加到未來版本的Firefox中。
網(wǎng)站還可以使用JavaScript來掩飾或者隱藏內(nèi)容,或者阻止網(wǎng)頁在iframe中顯示,從而防御點擊劫持攻擊。Stone表示,目前Facebook和Twitter使用的是JavaScript,但沒有使用X-Frame-Options,然而,使用JavaScript并不能完全阻止點擊劫持攻擊。
【編輯推薦】
