[情報] 專家警告「點閱綁架」漏洞讓瀏覽器無一倖免
demo http://guya.net/security/clickjacking/game.html
有 webcam 可以試試看喔
youtube http://www.youtube.com/watch?v=gxyLbpldmuU
來源 http://www.ithome.com.tw/itadm/article.php?c=51136
專家警告「點閱綁架」漏洞讓瀏覽器無一倖免
文/陳曉莉 (編譯) 2008-09-29
Clickjacking讓駭客能夠誘導使用者點擊網頁上根本不引人注意的部份,但那可能是來自
其他網頁的內容。
兩名資安研究人員在本周揭露了新的「點閱綁架」(clickjacking)漏洞,該漏洞類似跨
站假要求(cross-site request forgery,CSRF),不過目前卻沒有任何防制
clickjacking的有效方法,而且包括IE、Firefox、Safari、Opera及 Chrome等主要瀏器
覽器無一可倖免於難。
發現此一嚴重漏洞的是WhiteHat Security技術長Jeremiah Grossman及SecTheory執行長
Robert Hansen,他們原本要在上周舉行的OWASP AppSec 2008會議上討論此一漏洞,不過
在相關業者的要求下延後公布漏洞細節。另一方面,美國電腦緊急應變小組(US-CERT)
也對此發佈了警告。
Clickjacking讓駭客能夠誘導使用者點擊網頁上根本不引人注意的部份,但那可能是來自
其他網頁的內容。
Grossman在部落格中表示,JavaScript惡意程式在使用者連到駭客掌控的網頁時,能夠竊
取使用者的歷史資料、入侵企業網路、執行網路釣魚,以及植入蠕蟲等。而透過
clickjacking攻擊可做的事更多,根據他們所完成的概念性驗證程式以及與各界溝通後
,他們相信,所發現的與一般網路瀏覽器行為較為有關,而非傳統的攻擊程式。
Grossman及Hansen已與微軟、Mozilla、蘋果及Adobe討論此一漏洞,Adobe名列其中是因
為有一概念性驗證程式是透過Adobe的產品進行攻擊。
Grossman指出,很難要求所有的網站更新以防範該漏洞,最好是由瀏覽器業者負責更新,
包括最新版的IE8及Firefox 3皆受到該漏洞波及,而且目前所有瀏覽器皆未提供修補,現
階段唯一可抵制該漏洞的方法是關閉瀏覽器的scripting及外掛程式功能。
關於此一漏洞更多的細節可望在Adobe發表更新程式之後揭露。(編譯/陳曉莉)
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 211.74.128.105
推
10/11 11:38, , 1F
10/11 11:38, 1F
→
10/11 11:39, , 2F
10/11 11:39, 2F
推
10/11 17:09, , 3F
10/11 17:09, 3F
推
10/11 18:07, , 4F
10/11 18:07, 4F
→
10/11 18:07, , 5F
10/11 18:07, 5F
推
10/11 21:43, , 6F
10/11 21:43, 6F
推
10/12 12:11, , 7F
10/12 12:11, 7F
推
10/13 00:45, , 8F
10/13 00:45, 8F