研究人員演示“點擊劫持”惡意攻擊方法
近日一名計算機安全研究人員發布了一種新的基于瀏覽器的工具,可以用來發動新一代“點擊劫持”攻擊,本文我們將為大家揭曉這種新型點擊劫持攻擊方式。
點擊劫持是一種Web方式攻擊,通過誘騙用戶點擊包含隱藏按鈕的網頁的某些部分來執行惡意程序,隱藏按鈕是通過隱形的iframe實現的,黑客則可以通過iframe將其他內容載入目標網站。如果是黑客精心設計Clickjacking攻擊頁面,那么無論用戶進行正常鼠標點擊還是無意間的鼠標點擊動作,都可能會點擊導致下載木馬程序等惡意行為。
發現點擊劫持漏洞的是兩名安全研究人員Robert Hansen與Jeremiah Grossman,他們在2008年發現攻擊者可以利用Adobe Flash的程序漏洞來遠程控制受害者的攝像頭和麥克風。
自那以后,很多網站和瀏覽器供應商都開始采取措施加強防御,但是仍有絕大多數網站并沒有意識到這個漏洞的危害,英國Context Information Security公司的安全顧問Paul Stone在近日舉行的黑帽會議上展示了四種新型點擊劫持攻擊,可以有效攻擊大多數網站和瀏覽器。
Stone演示的其中一種攻擊方式就是利用部署在所有瀏覽器中的拖放API(應用編程接口)。只需要利用某種社會工程學手段,就可以讓用戶將某條目拖動至一個網頁中,而這就將導致文本被插入到字段中。
“這樣我們將可以做很多操作,”Stone表示,“你可以從用戶賬戶發送冒名電子郵件,也可以在文檔編輯系統編輯文件。”
Stone還演示了一種內容提取點擊劫持攻擊,這種攻擊可以用來竊取用來驗證會話和防范CSRF(跨站請求偽造Cross-site request forgery)的令牌。在跨站請求偽造攻擊中,web應用程序被欺騙至執行來自惡意網站的請求。
Stone研發了一種開發人員可以用來嘗試新型點擊劫持技術的工具,請點擊此處下載。
這種工具是點擊式瀏覽器應用程序,它有一個“可見的”重放模式來查看特定攻擊的執行過程,還有一個“隱形”模式,可以從受害者角度觀察攻擊過程。該工具仍處于測試階段,適用于Firefox 3.6,Stone表示他們正在努力研究與其他瀏覽器的兼容性。
Stone最近發現有兩種針對瀏覽器的點擊劫持漏洞,其中一個在IE中,另一個在Firefox中,這兩個漏洞已經被修復,瀏覽器制造商也一直努力研究抵御點擊劫持的方法。
IE8、Safari 4及更高版本、Chrome2及更高版本已經能夠識別一種被稱為X-Frame-Options的HTTP頭域,只要網頁附有此標簽,瀏覽器就不允許網站包含在一個框架中,這也是點擊劫持攻擊需要的。Mozilla正在計劃將此功能添加到未來版本的Firefox中。
網站還可以使用JavaScript來掩飾或者隱藏內容,或者阻止網頁在iframe中顯示,從而防御點擊劫持攻擊。Stone表示,目前Facebook和Twitter使用的是JavaScript,但沒有使用X-Frame-Options,然而,使用JavaScript并不能完全阻止點擊劫持攻擊。
【編輯推薦】
