【51CTO.com 獨家特稿】2009年2月12日，Twitter暴露了一個重大安全漏洞。Twitter上到處都是“不要點擊（Don't click）”的留言，后邊跟著一個網址鏈接。實際上，這種攻擊已經出現一些時間了，只不過2月12日才大規模爆發。當用戶登錄Twitter后，如果點擊了“不要點擊”，你的消息里就會出現一條“不要點擊”，然后不斷蔓延。

一、跨站請求偽造還是點擊劫持

遭到Don't Click攻擊（準確來說，它應該算是一個惡作劇，因為它沒有對用戶造成實質性的危害。）黑手的用戶將向Twitter張貼下列消息：

    Don't Click: http://tinyurl.com/amgzs6

下面是當時的用戶截圖：

圖1

這看起來好像是一個CSRF攻擊，但是當您查看發動攻擊的頁面的源文件后，就會發現根本不是這么回事。這個病毒性的Twitter惡作劇用來騙您在Twitter張貼回復的技術并不是跨站請求偽造，而是另一種高超的技巧：點擊劫持技術。所有這一切根本就不使用JavaScript代碼（當然跨站請求偽造也可以不用腳本），只用了寥寥幾行CSS代碼就搞定了。

二、深入解析Don't Click攻擊

在攻擊頁面中，含有一個IFrame，用以加載Twitter，并且帶有事先填好的消息：

實際上，Twitter本身在您單擊“reply”按鈕的時候，它就在回復的開頭處預填了內容。所以說，該攻擊使用的策略，與Twitter是一脈相承的。在Iframe之后是一個按鈕：

Don't Click

這可是一個巧妙的騙局，它利用了點擊劫持技術：當您單擊這個按鈕的時候，實際上是在Twitter上提交一個表單。但是，它是如何完成的？這可要歸功于CSS了。仔細看一下這里的CSS：

 

注意IFrame和按鈕的位置，Twitter的（位于IFrame中的）更新按鈕恰好放在了該頁面的正常按鈕的上面；并且這里通過CSS使這個IFRAME變得完全透明，所以您根本就看不到它。所以，用戶將看到如下的景象：

圖2

俗話說，耳聽為虛，眼見為實——真是這樣嗎？很遺憾，有時候眼睛也會欺騙我們，因為它看不到透明的東西。為了弄清真相，我們調節內嵌框架的透明度，這下您就會明白是怎么回事了，如圖：

圖3

好了，現在真相大白了：當您覺得正在點擊（IFrame下面的）普通按鈕的時候，實際上卻在單擊（普通按鈕上面那個透明的）Twitter的“Update”按鈕。假如用戶已經登錄到Twitter，那么用戶就會立即向Twitter張貼表單輸入框中的內容。拜Twitter的?Status= URL功能所賜，攻擊者可以輕松貼上下列消息，因為該功能允許Twitter預裝一則消息：

    Don’t Click: http://tinyurl.com/amgzs6

在TinyURL的幫助下，可以對攻擊頁面的URL做些必要的處理，以便誘騙您的跟蹤者來進一步傳播此“攻擊”，事實證明這是十分有效的。

三、示例演示

為了更好地進行說明，我們用一個示例攻擊頁面進行演示。注意，為了讓讀者看到事實真相，我們的例子中沒有將opacity設為0，因此如果在加載頁面時您仔細觀察的話，將會看到“Don't Click”按鈕在后臺先于Twitter之前加載的，之后還會看到Twitter的更新按鈕又被“繪制”到了“Don't Click”按鈕之上。也就是說，最后Twitter的更新按鈕把“Don't Click”按鈕完全蓋住了。代碼如下：

Don't Click

現在，當讀者使用上面的代碼做實驗時，已經看不到Twitter的“update”按鈕了，因為Twitter已經修復了這個嚴重的安全漏洞。但是我們可以看到有一個不透明的方塊蓋住了先出現的“Don't Click”按鈕。好了，現在介紹一下該漏洞是如何被修復的。

四、漏洞的修復

Twitter.com已經修補了該漏洞，做法是在它被加載到一個IFRAME的時候，利用一些JavaScript進行相應的檢查：

    if (window.top !== window.self) {
window.top.location.href = window.self.location.href; }

所以，現在當我們試圖將Twitter加載到一個IFRAME中的時候，會發現瀏覽器被自動重定向到Twitter，這樣的話，攻擊頁面就不能得逞了。

五、小結

本文對上周Twitter暴露了一個重大安全漏洞，即Don't Click攻擊進行了全面深入的介紹。我們首先介紹了Don't Click攻擊的實質，即點擊劫持，并介紹了該技術的具體實現代碼。為了讓讀者有一個感性的認識，我們還提供了一個示例攻擊頁面，最后介紹了漏洞的修補技術。

【51CTO.COM 獨家特稿，轉載請注明出處及作者！】

【編輯推薦】

1. 惡意網站兇猛來襲 2008黑榜上半年分析
2. 瑞星首推“惡意網站監測網” 每天500萬網民訪問掛馬網站
3. 全球惡意網站數量一年翻三番 21%來自美國