※ 引述《chaos64 (chaos)》之铭言： : 若真的那麽闲, 那麽帮老头子一个忙, 帮我怎麽防 Clickjacking...XD : 很担心校内那一堆只会按 yes 的人... : 别说照 http://www.us-cert.gov/reading_room/securing_browser/ 这里 : 所写的...那个是没用的. 想不到学长的资讯这麽快 这个我昨天参加 2008 OWASP 亚洲年会才刚听到这个攻击手法而已 昨天第一场演讲者就是由Clickjacking这个漏洞的发现者Robert Hansen的演讲 Hansen原已计画在9月份OWASP的美国年会时就要发布这个漏洞,不过当时在Adobe、微软 等业者要求下被禁讲(因为他们还无法解决这个问题,一公布就完了) http://www.theregister.co.uk/2008/09/16/critical_vulnerability_demo_pulled/ so这场演讲是他在台湾全球首次公开此次禁讲之内容 (我有录起来,不过不是很清楚,有兴趣的再低调伸) 简单来说,Clickjacking就是一个在正常的网站中挂上恶意程式码，让使用者没有防备, 诱导使用者按下一个隐藏的连结或恶意程式码 Hansen是用iGoogle来做示范,制作了具备跨站攻击能力的小工具 (Google「小工具」是可以新增到 Google 主页、Google 桌面或任何网页的迷你应用程式 可以是简单的HTML,也可以是复杂的程式,可以是日历、天气...etc) 然後放在iGoogle首页里,让使用者看不见其内容,使用者以为滑鼠点击的是正常页面连结 却执行了骇客指定的动作,下载恶意小工具,但一般使用者根本不会察觉到,进而骇客可偷 取使用者的cookie,假冒使用者身份存取具身份控管机制的网站.ex:登入信箱 将使用者浏览器导向恶意网站,安装恶意後门程式、将使用者浏览器导向钓鱼网站,偷取 帐号密码等个人资讯. 而且就算你的浏览器在不启用JavaScript也能够发动攻击 还有其他类似手法是更近一步加上利用Flash的漏洞，甚至可以让恶意网站控制使用者的 webcam或麦克风 示范影片 http://tw.youtube.com/watch?v=gxyLbpldmuU 利用一些隐藏技术,使用者只知道是点击Click按钮,但事实上点击到的却是<我同意>,进而 自己把Webcam打开而把视讯的画面传出去,有点像骗你让你自己开视讯给大家看,你却不知 道 至於在会议上有人提了问题,问主讲人有什麽方法可以防范,Hansen是说目前找不到非常有 效的全面性防堵方法,不过有几种方法可以避免掉一些攻击 1.更新到Flash 10 2.安装「NoScript」套件(火狐专用,ie使用者就把安全性调最高,把JavaScript停用) 3.进去flash隐私权设定设成 拒绝网路摄影机(视讯)和/或麦克风的存取使用 4.把webcam用胶带贴起来 (≧<>≦) (这可是他说的) 不过把JavaScript有很多网站都不能看了吧! \(@^0^@)/ 乾脆把网路线拔掉,到户外走走吧 不要老是待在家里,呼吸一下户外新鲜的空气,让身体从里到外,有新的活力！ 一天一万步,健康有保固 ~(￣▽￣)~(＿△＿)~(￣▽￣)~(＿△＿)~(￣▽￣)~ --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 118.161.40.68 ※ 编辑: at1815 来自: 118.161.40.68 (10/30 03:37)