研究人员演示“点击劫持”恶意攻击方法

安全 数据安全
近日一名计算机安全研究人员发布了一种新的基于浏览器的工具,可以用来发动新一代“点击劫持”攻击,本文我们将为大家揭晓这种新型点击劫持攻击方式。

近日一名计算机安全研究人员发布了一种新的基于浏览器的工具,可以用来发动新一代“点击劫持”攻击,本文我们将为大家揭晓这种新型点击劫持攻击方式。

点击劫持是一种Web方式攻击,通过诱骗用户点击包含隐藏按钮的网页的某些部分来执行恶意程序,隐藏按钮是通过隐形的iframe实现的,黑客则可以通过iframe将其他内容载入目标网站。如果是黑客精心设计Clickjacking攻击页面,那么无论用户进行正常鼠标点击还是无意间的鼠标点击动作,都可能会点击导致下载木马程序等恶意行为。

发现点击劫持漏洞的是两名安全研究人员Robert Hansen与Jeremiah Grossman,他们在2008年发现攻击者可以利用Adobe Flash的程序漏洞来远程控制受害者的摄像头和麦克风。

自那以后,很多网站和浏览器供应商都开始采取措施加强防御,但是仍有绝大多数网站并没有意识到这个漏洞的危害,英国Context Information Security公司的安全顾问Paul Stone在近日举行的黑帽会议上展示了四种新型点击劫持攻击,可以有效攻击大多数网站和浏览器。

Stone演示的其中一种攻击方式就是利用部署在所有浏览器中的拖放API(应用编程接口)。只需要利用某种社会工程学手段,就可以让用户将某条目拖动至一个网页中,而这就将导致文本被插入到字段中。

“这样我们将可以做很多操作,”Stone表示,“你可以从用户账户发送冒名电子邮件,也可以在文档编辑系统编辑文件。”

Stone还演示了一种内容提取点击劫持攻击,这种攻击可以用来窃取用来验证会话和防范CSRF(跨站请求伪造Cross-site request forgery)的令牌。在跨站请求伪造攻击中,web应用程序被欺骗至执行来自恶意网站的请求。

Stone研发了一种开发人员可以用来尝试新型点击劫持技术的工具,请点击此处下载。

这种工具是点击式浏览器应用程序,它有一个“可见的”重放模式来查看特定攻击的执行过程,还有一个“隐形”模式,可以从受害者角度观察攻击过程。该工具仍处于测试阶段,适用于Firefox 3.6,Stone表示他们正在努力研究与其他浏览器的兼容性。

Stone最近发现有两种针对浏览器的点击劫持漏洞,其中一个在IE中,另一个在Firefox中,这两个漏洞已经被修复,浏览器制造商也一直努力研究抵御点击劫持的方法。

IE8、Safari 4及更高版本、Chrome2及更高版本已经能够识别一种被称为X-Frame-Options的HTTP头域,只要网页附有此标签,浏览器就不允许网站包含在一个框架中,这也是点击劫持攻击需要的。Mozilla正在计划将此功能添加到未来版本的Firefox中。

网站还可以使用JavaScript来掩饰或者隐藏内容,或者阻止网页在iframe中显示,从而防御点击劫持攻击。Stone表示,目前Facebook和Twitter使用的是JavaScript,但没有使用X-Frame-Options,然而,使用JavaScript并不能完全阻止点击劫持攻击。

【编辑推荐】

  1. 如何应对WEB攻击的防护盲点(1)
  2. 黑客WEB攻击新动向:劫持域名换手法
  3. 利用ASP.NET的内置功能抵御Web攻击(1)

责任编辑:佚名 来源: it168
相关推荐

2024-01-18 17:43:47

2021-02-02 09:32:06

黑客攻击l安全

2010-04-19 10:32:07

2012-03-23 09:28:14

2020-08-07 10:59:35

安全HTTP数据

2014-03-14 15:00:02

2021-02-16 10:02:36

恶意扩展安全插件网络攻击

2014-10-11 13:57:04

2014-08-29 10:05:02

2012-07-30 09:56:14

2023-06-28 10:13:23

2019-05-22 08:11:51

Winnti恶意软件Linux

2021-04-04 22:55:51

谷歌网络攻击网络安全

2013-03-28 10:34:29

2012-07-31 10:32:52

2021-03-31 09:17:46

Android恶意软件攻击

2021-04-10 09:56:57

Charming Ki网络钓鱼

2011-10-27 12:14:59

2022-07-18 23:44:32

安全漏洞信息安全

2011-01-20 10:00:21

点赞
收藏

51CTO技术栈公众号