※ 引述《chaos64 (chaos)》之銘言： : 若真的那麼閒, 那麼幫老頭子一個忙, 幫我怎麼防 Clickjacking...XD : 很擔心校內那一堆只會按 yes 的人... : 別說照 http://www.us-cert.gov/reading_room/securing_browser/ 這裡 : 所寫的...那個是沒用的. 想不到學長的資訊這麼快 這個我昨天參加 2008 OWASP 亞洲年會才剛聽到這個攻擊手法而已 昨天第一場演講者就是由Clickjacking這個漏洞的發現者Robert Hansen的演講 Hansen原已計畫在9月份OWASP的美國年會時就要發佈這個漏洞,不過當時在Adobe、微軟 等業者要求下被禁講(因為他們還無法解決這個問題,一公佈就完了) http://www.theregister.co.uk/2008/09/16/critical_vulnerability_demo_pulled/ so這場演講是他在台灣全球首次公開此次禁講之內容 (我有錄起來,不過不是很清楚,有興趣的再低調伸) 簡單來說,Clickjacking就是一個在正常的網站中掛上惡意程式碼，讓使用者沒有防備, 誘導使用者按下一個隱藏的連結或惡意程式碼 Hansen是用iGoogle來做示範,製作了具備跨站攻擊能力的小工具 (Google「小工具」是可以新增到 Google 主頁、Google 桌面或任何網頁的迷你應用程式 可以是簡單的HTML,也可以是複雜的程式,可以是日曆、天氣...etc) 然後放在iGoogle首頁裡,讓使用者看不見其內容,使用者以為滑鼠點擊的是正常頁面連結 卻執行了駭客指定的動作,下載惡意小工具,但一般使用者根本不會察覺到,進而駭客可偷 取使用者的cookie,假冒使用者身份存取具身份控管機制的網站.ex:登入信箱 將使用者瀏覽器導向惡意網站,安裝惡意後門程式、將使用者瀏覽器導向釣魚網站,偷取 帳號密碼等個人資訊. 而且就算你的瀏覽器在不啟用JavaScript也能夠發動攻擊 還有其他類似手法是更近一步加上利用Flash的漏洞，甚至可以讓惡意網站控制使用者的 webcam或麥克風 示範影片 http://tw.youtube.com/watch?v=gxyLbpldmuU 利用一些隱藏技術,使用者只知道是點擊Click按鈕,但事實上點擊到的卻是<我同意>,進而 自己把Webcam打開而把視訊的畫面傳出去,有點像騙你讓你自己開視訊給大家看,你卻不知 道 至於在會議上有人提了問題,問主講人有什麼方法可以防範,Hansen是說目前找不到非常有 效的全面性防堵方法,不過有幾種方法可以避免掉一些攻擊 1.更新到Flash 10 2.安裝「NoScript」套件(火狐專用,ie使用者就把安全性調最高,把JavaScript停用) 3.進去flash隱私權設定設成 拒絕網路攝影機(視訊)和/或麥克風的存取使用 4.把webcam用膠帶貼起來 (≧<>≦) (這可是他說的) 不過把JavaScript有很多網站都不能看了吧! \(@^0^@)/ 乾脆把網路線拔掉,到戶外走走吧 不要老是待在家裡,呼吸一下戶外新鮮的空氣,讓身體從裡到外,有新的活力！ 一天一萬步,健康有保固 ~(￣▽￣)~(＿△＿)~(￣▽￣)~(＿△＿)~(￣▽￣)~ --

※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 118.161.40.68 ※ 編輯: at1815 來自: 118.161.40.68 (10/30 03:37)