自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

新的“DoubleClickjacking”漏洞可繞過(guò)網(wǎng)站的劫持保護(hù)

作者:流蘇_
安全
該漏洞通過(guò)利用雙擊操作來(lái)推動(dòng)點(diǎn)擊劫持攻擊及賬戶(hù)接管,幾乎波及所有大型網(wǎng)站。這一技術(shù)已被安全研究員Paulos Yibelo命名為“DoubleClickjacking”。

安全專(zhuān)家揭示了一種新型的“普遍存在的基于時(shí)間的漏洞”,該漏洞通過(guò)利用雙擊操作來(lái)推動(dòng)點(diǎn)擊劫持攻擊及賬戶(hù)接管,幾乎波及所有大型網(wǎng)站。這一技術(shù)已被安全研究員Paulos Yibelo命名為“DoubleClickjacking”。

Yibelo指出:“它并非依賴(lài)單一點(diǎn)擊,而是利用雙擊的序列。這看似微小的變化,卻為新的UI操控攻擊敞開(kāi)了大門(mén),能夠繞過(guò)所有現(xiàn)有的點(diǎn)擊劫持防護(hù)措施,包括X-Frame-Options頭部或SameSite: Lax/Strict cookie?!?/p>

點(diǎn)擊劫持,亦稱(chēng)作UI重定向,是一種攻擊手段,誘使用戶(hù)點(diǎn)擊看似無(wú)害的網(wǎng)頁(yè)元素(如按鈕),進(jìn)而導(dǎo)致惡意軟件的安裝或敏感信息的泄露。DoubleClickjacking作為這一領(lǐng)域的變種,它利用點(diǎn)擊開(kāi)始與第二次點(diǎn)擊結(jié)束之間的時(shí)間差來(lái)規(guī)避安全控制,以最小的用戶(hù)交互實(shí)現(xiàn)賬戶(hù)接管。

具體步驟如下:

  • 用戶(hù)訪(fǎng)問(wèn)一個(gè)由攻擊者控制的網(wǎng)站,該網(wǎng)站要么在無(wú)需任何用戶(hù)操作的情況下自動(dòng)打開(kāi)一個(gè)新的瀏覽器窗口(或標(biāo)簽頁(yè)),要么在點(diǎn)擊按鈕時(shí)打開(kāi)。
  • 新窗口可能模仿一些無(wú)害的內(nèi)容,例如CAPTCHA驗(yàn)證,提示用戶(hù)雙擊以完成操作。
  • 在雙擊過(guò)程中,原始網(wǎng)站利用JavaScript Window Location對(duì)象悄悄重定向至惡意頁(yè)面(如,批準(zhǔn)惡意的OAuth應(yīng)用程序)。
  • 同時(shí),頂層窗口被關(guān)閉,使用戶(hù)在毫不知情的情況下通過(guò)批準(zhǔn)權(quán)限確認(rèn)對(duì)話(huà)框授予訪(fǎng)問(wèn)權(quán)限。

Yibelo表示:“大多數(shù)Web應(yīng)用程序和框架都認(rèn)為只有單次強(qiáng)制點(diǎn)擊存在風(fēng)險(xiǎn)。DoubleClickjacking引入了一層許多防御措施從未考慮過(guò)的內(nèi)容。像X-Frame-Options、SameSite cookie或CSP這樣的方法無(wú)法抵御這種攻擊。”

網(wǎng)站所有者可通過(guò)客戶(hù)端手段消除這類(lèi)漏洞,默認(rèn)禁用關(guān)鍵按鈕,僅在檢測(cè)到鼠標(biāo)手勢(shì)或按鍵時(shí)激活。研究發(fā)現(xiàn),諸如Dropbox等服務(wù)已經(jīng)實(shí)施了此類(lèi)預(yù)防措施。作為長(zhǎng)遠(yuǎn)解決方案,建議瀏覽器供應(yīng)商采納類(lèi)似X-Frame-Options的新標(biāo)準(zhǔn)來(lái)防御雙擊利用。

Yibelo強(qiáng)調(diào):“DoubleClickjacking是一種眾所周知的攻擊類(lèi)別的變種。通過(guò)利用點(diǎn)擊之間的事件時(shí)間差,攻擊者能夠在瞬間無(wú)縫地將良性UI元素替換為敏感元素。”

此次披露距離研究人員展示另一種點(diǎn)擊劫持變體(即跨窗口偽造,亦稱(chēng)作手勢(shì)劫持)已近一年,該變體依賴(lài)于說(shuō)服受害者在攻擊者控制的網(wǎng)站上按下或按住Enter鍵或空格鍵以啟動(dòng)惡意操作。

在Coinbase和Yahoo!等網(wǎng)站上,如果已登錄任一網(wǎng)站的受害者訪(fǎng)問(wèn)攻擊者網(wǎng)站并按住Enter/空格鍵,則可能被利用來(lái)實(shí)現(xiàn)賬戶(hù)接管。

“這是因?yàn)檫@兩個(gè)網(wǎng)站都允許潛在攻擊者創(chuàng)建具有廣泛權(quán)限范圍的OAuth應(yīng)用程序以訪(fǎng)問(wèn)其API,并且它們都為用于授權(quán)應(yīng)用程序進(jìn)入受害者賬戶(hù)的‘允許/授權(quán)’按鈕設(shè)置了靜態(tài)和/或可預(yù)測(cè)的‘ID’值?!?/p>

參考來(lái)源:https://thehackernews.com/2025/01/new-doubleclickjacking-exploit-bypasses.html

責(zé)任編輯:趙寧寧 來(lái)源: FreeBuf
漏洞惡意軟件網(wǎng)絡(luò)攻擊
相關(guān)推薦

2021-11-02 11:55:07

macOS macOS Monte漏洞

2023-11-23 14:37:29

2012-06-14 09:16:58

2023-03-17 14:59:24

2011-02-16 10:26:08

2012-02-24 09:25:58

2021-04-04 22:48:20

Linux網(wǎng)絡(luò)安全、漏洞

2009-05-22 10:11:19

2021-12-23 09:47:36

Log4jRCE漏洞DoS漏洞

2025-04-03 06:00:00

微軟Windows操作系統(tǒng)

2010-11-29 14:05:29

2022-05-31 13:15:11

WhatsApp劫持用戶(hù)攻擊

2024-10-18 17:10:45

2021-08-06 10:00:29

網(wǎng)站劫持網(wǎng)絡(luò)攻擊網(wǎng)站安全

2014-11-13 13:57:13

2025-04-01 07:00:00

網(wǎng)絡(luò)安全漏洞網(wǎng)絡(luò)攻擊

2021-03-04 14:55:50

微軟漏洞黑客

2012-06-13 09:26:46

2015-09-28 09:56:14

2023-11-15 12:53:31

點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)