Clickjacking:最新的跨瀏覽器攻擊漏洞引起恐慌
作者: its
|
發布: 2008/9/26 (下午 12:20)
|
閱讀: 28393
|
評論: 0
|
靜態地址
|
內容源碼
安全專家們最近發出警告,一個最新發現的跨瀏覽器攻擊漏洞將帶來非常可怕的安全問題,該漏洞影響所有主流桌面平臺,包括,IE, Firefox, Safari, Opera 以及 Adobe Flash。
這個被稱為 Clickjacking 的安全威脅,原本要在 OWASP NYC AppSec 2008 大會上公布,但包括 Adobe 在內的廠商請求暫時不要公開這個漏洞,直到他們開發出安全補丁。
發現這個漏洞的是兩個安全研究專家,Robert Hansen 與 Jeremiah Grossman,他們已經略透露了一點相關信息以顯示該安全威脅的嚴重性。
Clickjacking 到底是什么東西?
兩為研究專家說,他們所發現的絕非小問題,事實上,很嚴重,他們在透露這些信息之前需要負起責任,這些問題一環套一環,至少已經有兩家廠商表示會提供補丁,但日期未定,我們目前只和有限的幾個廠家探討這個問題,所以,問題很嚴重。
根據那些在 OWASP 參加過半公開性演示的人透露,這個漏洞非常緊急,將影響到所有瀏覽器,而且它和 JavaScript 并沒有關系:
- 總的來說,當你訪問一個惡意網站的時候,攻擊者可以控制你的瀏覽器對一些鏈接的訪問,這個漏洞影響到幾乎所有瀏覽器,除非你使用 lynx 一類的字符瀏覽器。這個漏洞與 JavaScript 無關,即使你關閉瀏覽器的 JavaScript 功能也無能為力。事實上這是瀏覽器工作原理中的一個缺陷,無法通過簡單的補丁解決。一個惡意網站能讓你在毫不知情的情況下點擊任意鏈接,任意按紐或網站上任意東西。
如果這還不能讓你恐慌的話,想想這樣的情形,一個用戶在被攻擊的時候將毫不知情而且束手無策:
- 比如在 Ebay,因為可以嵌入 JavaScript,雖然攻擊并不需要 JavaScript,但可以讓攻擊更容易進行。只用 lynx 字符瀏覽器才能保護你自己,同時不要任何動態的東西。該漏洞用到 DHTML,使用防 frame 代碼可以保護你不受跨站點攻擊,但攻擊者仍可以強迫你點擊任何鏈接。你所做的任何點擊都被引導到惡意鏈接上,所以,那些 Flash 游戲將首當其沖。
據 Hansen 講,他們已經同微軟以及 Mozilla 談論過這個問題,然而他們均表示這是個非常棘手的問題,目前沒有簡單的解決辦法。
Grossman 確切表示,微軟最新的 IE8 和 Mozilla 最新的 Firefox 3 均不能幸免。
更多閱讀
本文國際來源:http://blogs.zdnet.com/security/?p=1972 中文翻譯來源:COMSHARP CMS 官方網站
|