日前,一个非常可怕的跨浏览器攻击漏洞Clickjacking正在逐渐显露在人们面前。通过这个Clickjacking漏洞你会在毫不知情的情况下“帮助”黑客“控制”你计算机上的摄像头和麦克风。
这个Clickjacking漏洞具有及其良好的跨平台性,能够影响所有主流桌面平台包括IE、Firefox、Safari、Opera 以及 Adobe Flash。
这个被称为 发现这个Clickjacking漏洞的是Robert Hansen与Jeremiah Grossman两名安全研究专家,从他们已经透露的一点相关信息来看,这个安全危险相当严重。
考虑到这个漏洞的高度危害性,经Adobe等厂商请求,OWASP NYC AppSec 2008大会将暂不对其进行公布。
什么是Clickjacking?
在中文里,Clickjacking可以翻译为“点击劫持”,而国外资料里对其的解释是“UI redress vulnerabilities(界面伪装漏洞 )”。
据参加OWASP半公开演示的人士介绍,这个漏洞与JavaScript无关,却能影响所有浏览器。
简单的说Clickjacking是一种攻击,是一种新型的WEB方式攻击。其中所涉及到的“Flash Player漏洞”,其实只是Clickjacking安全漏洞的一种表现形式,黑客可以通过一个简单的Flash游戏控制用户的摄像头或麦克风。
Clickjacking漏洞原理解析
在一个已经公布的Clickjacking Demo演示程序中我们不难发现Clickjacking的内涵。
在你可控制的页面A内有一个iframe,iframe的src链接到另一个域的页面B。设置这个iframe的CSS样式的透明度为0,并设置其CSS样式的z-index比页面A的其他元素的z-index大。这个iframe的Width与Height值都设置为足以保证用户可以点击到其中内容(页面B的内容)的大小。然后在页面A上放置一些按钮、链接等可以欺骗用户点击的元素,这些元素在iframe之下(z-index值决定),并恰好与 iframe的页面B内的关键元素在同一个位置。于是当用户被欺骗去点击页面A内的这些元素时,实际上点击了页面B内的关键元素,这些元素可以是:删除按钮、添加按钮、单选框、请求链接等等。再加上一些社会工程学技巧,这类攻击方式可以进行得非常巧妙。
这种Clickjacking漏洞攻击基于DHTML技术,用到了iframe,而且这样的攻击方式不一定需要JavaScript。虽然使用防iframe代码可以保护你不受跨站点攻击,但攻击者仍可以迫使你点击任何其指定的链接。
类似的欺骗还有——onMouseUpJacking、FormJacking、SubmitJacking——点击劫持。
如果黑客精心设计Clickjacking攻击页面,那么无论网页访问者进行正常鼠标点击还是无意间的鼠标点击动作,都可能会点击激发背后的隐形身影,而这个隐形身影则可以包括下载木马、打开摄像头等各类恶意行为。
据Hansen讲,他们已经同微软以及Mozilla谈论过这个问题,然而他们均表示这个问题非常棘手,目前没有简单的解决办法。Grossman更确切表示,微软最新的IE 8和Mozilla最新的Firefox 3均不能幸免。
那么除非你使用lynx一类的字符浏览器,同时不要任何动态的东西,这样才能保护自己。由于这个漏洞与JavaScript无关,所以即便你关闭浏览器的JavaScript功能也无能为力。事实上这是浏览器工作原理中的一个缺陷,无法通过简单的补丁解决。
解决方案
Adobe解决方案
Adobe对于Flash Player引起的Clickjacking漏洞作出回应,给出了临时解决方案,可以避免被黑客控制你的摄像头或者是麦克风。(Clickjacking漏洞影响AdobeFlash9.0.124.0之前的所有版本。)
To prevent this potential issue, customers can change their Flash Player settings as
follows:
1.Access the Global Privacy Settings panel of the Adobe Flash Player Settings Manager at
the following URL:
http://www.adobe.com/support/documentation/en/flashplayer/help/settings_manager02.html
2.Select the "Always deny" button.
3.Select ‘Confirm’ in the resulting dialog.
4.Note that you will no longer be asked to allow or deny camera and / or microphone
access after changing this setting.
Customers who wish to allow certain sites access to their camera and / or microphone can
selectively allow access to certain sites via the Website Privacy Settings panel of the
Settings Manager at the following URL:
http://www.adobe.com/support/documentation/en/flashplayer/help/settings_manager06.html.
|
用户可以通过改变Flash Player设置来避免Clickjacking漏洞带来的安全威胁:
1.下面的网址是一个全球个人Adobe Flash Player设置管理模板,在这里可以对不同版本的Flash Player进行针对Clickjacking漏洞的安全设置:
2.打开上面的设置模板页面后,页面会判断你的Flash Player版本,并给出设置页面,选择里面的“始终拒绝”按钮。
3.在弹出的窗口里选择“确定”按钮。
4.注意:进行这个设置后,就无法允许或者拒绝对摄像机、麦克风的访问。
如果想允许某个特定站点上的内容访问摄像机或麦克风,请访问下面的网址,进入全球个人Adobe Flash Player设置管理模板:
浏览器解决方案
Firefox 3的NoScript(1.8.2以上版本)插件可以防御Clickjacking漏洞攻击。NosSript也给出了ClearClick保护来防御Clickjacking漏洞可能造成的危害。 |
您现在的位置: 
