近日一名計(jì)算機(jī)安全研究人員發(fā)布了一種新的基于瀏覽器的工具，可以用來發(fā)動(dòng)新一代“點(diǎn)擊劫持”攻擊，本文我們將為大家揭曉這種新型點(diǎn)擊劫持攻擊方式。

點(diǎn)擊劫持是一種Web方式攻擊，通過誘騙用戶點(diǎn)擊包含隱藏按鈕的網(wǎng)頁(yè)的某些部分來執(zhí)行惡意程序，隱藏按鈕是通過隱形的iframe實(shí)現(xiàn)的，黑客則可以通過iframe將其他內(nèi)容載入目標(biāo)網(wǎng)站。如果是黑客精心設(shè)計(jì)Clickjacking攻擊頁(yè)面，那么無論用戶進(jìn)行正常鼠標(biāo)點(diǎn)擊還是無意間的鼠標(biāo)點(diǎn)擊動(dòng)作，都可能會(huì)點(diǎn)擊導(dǎo)致下載木馬程序等惡意行為。

發(fā)現(xiàn)點(diǎn)擊劫持漏洞的是兩名安全研究人員Robert Hansen與Jeremiah Grossman，他們?cè)?008年發(fā)現(xiàn)攻擊者可以利用Adobe Flash的程序漏洞來遠(yuǎn)程控制受害者的攝像頭和麥克風(fēng)。

自那以后，很多網(wǎng)站和瀏覽器供應(yīng)商都開始采取措施加強(qiáng)防御，但是仍有絕大多數(shù)網(wǎng)站并沒有意識(shí)到這個(gè)漏洞的危害，英國(guó)Context Information Security公司的安全顧問Paul Stone在近日舉行的黑帽會(huì)議上展示了四種新型點(diǎn)擊劫持攻擊，可以有效攻擊大多數(shù)網(wǎng)站和瀏覽器。

Stone演示的其中一種攻擊方式就是利用部署在所有瀏覽器中的拖放API(應(yīng)用編程接口)。只需要利用某種社會(huì)工程學(xué)手段，就可以讓用戶將某條目拖動(dòng)至一個(gè)網(wǎng)頁(yè)中，而這就將導(dǎo)致文本被插入到字段中。

“這樣我們將可以做很多操作，”Stone表示，“你可以從用戶賬戶發(fā)送冒名電子郵件，也可以在文檔編輯系統(tǒng)編輯文件?！?/P>

Stone還演示了一種內(nèi)容提取點(diǎn)擊劫持攻擊，這種攻擊可以用來竊取用來驗(yàn)證會(huì)話和防范CSRF(跨站請(qǐng)求偽造Cross-site request forgery)的令牌。在跨站請(qǐng)求偽造攻擊中，web應(yīng)用程序被欺騙至執(zhí)行來自惡意網(wǎng)站的請(qǐng)求。

Stone研發(fā)了一種開發(fā)人員可以用來嘗試新型點(diǎn)擊劫持技術(shù)的工具，請(qǐng)點(diǎn)擊此處下載。

這種工具是點(diǎn)擊式瀏覽器應(yīng)用程序，它有一個(gè)“可見的”重放模式來查看特定攻擊的執(zhí)行過程，還有一個(gè)“隱形”模式，可以從受害者角度觀察攻擊過程。該工具仍處于測(cè)試階段，適用于Firefox 3.6，Stone表示他們正在努力研究與其他瀏覽器的兼容性。

Stone最近發(fā)現(xiàn)有兩種針對(duì)瀏覽器的點(diǎn)擊劫持漏洞，其中一個(gè)在IE中，另一個(gè)在Firefox中，這兩個(gè)漏洞已經(jīng)被修復(fù)，瀏覽器制造商也一直努力研究抵御點(diǎn)擊劫持的方法。

IE8、Safari 4及更高版本、Chrome2及更高版本已經(jīng)能夠識(shí)別一種被稱為X-Frame-Options的HTTP頭域，只要網(wǎng)頁(yè)附有此標(biāo)簽，瀏覽器就不允許網(wǎng)站包含在一個(gè)框架中，這也是點(diǎn)擊劫持攻擊需要的。Mozilla正在計(jì)劃將此功能添加到未來版本的Firefox中。

網(wǎng)站還可以使用JavaScript來掩飾或者隱藏內(nèi)容，或者阻止網(wǎng)頁(yè)在iframe中顯示，從而防御點(diǎn)擊劫持攻擊。Stone表示，目前Facebook和Twitter使用的是JavaScript，但沒有使用X-Frame-Options，然而，使用JavaScript并不能完全阻止點(diǎn)擊劫持攻擊。

【編輯推薦】

1. 如何應(yīng)對(duì)WEB攻擊的防護(hù)盲點(diǎn)(1)
2. 黑客WEB攻擊新動(dòng)向:劫持域名換手法
3. 利用ASP.NET的內(nèi)置功能抵御Web攻擊(1)