著名web安全专家Robert(RSnake, ha.ckers.org创始人)首次展示了点击截击地巨大危害. 在一个月前本来想要在拉斯维加斯黑帽子大会上发表的他, 由于危害巨大而被大会禁止发布, 这次在web安全最具权威的亚洲OWASP APPSEC上发布, 也算是名正言顺.

点击截击的最基本的描述和原理可以概括为当你点击某你认为安全和正常链接的时候, 其实实际上已经点击了黑客所希望你点击的, 这个链接有可能是同一个页面, 也有可能是不同的网站, 比如可能是允许flash具有完全读写权力, 或者可能是你卖掉你的股票, 或者可能是登陆你某个银行账户, 后者是自动把你的电脑的camera打开…

除了ppt, 他还演示了很多录像, 来实际证明点击截击的危害. (录像地址: www.dbappSecurity.com.cn/video/owasp-asia/index.html )

关于点击截击的防范, 期待浏览器出一些补丁是不现实的, 如果是用Firefox推荐采用noscript (https://addons.mozilla.org/zh-CN/firefox/addon/722), 笔者用了一段时间感觉还行. 另外, Flash等应该升级到最新版本, 那是不用说的. 

相关文章

• 2008年10月13日 -- 点击劫持（Clickjacking）漏洞技术内幕

　　当你访问一个恶意网站的时候，攻击者可以控制你的浏览器对一些链接的访问，这个漏洞影响到几乎所有浏览器以及所有版本的Flash等浏览器相关的第三方软件，除非你使用lynx一类的字符浏览器。

　　这个漏洞与JavaScript无关，即使你关闭浏览器的JavaScript功能也无能为力。事实上这是浏览器工作原理中的一个缺陷。一个恶意网站能让你在毫不知情的情况下点击任意链接，任意按钮或网站上的任意东西。

　　该漏洞用到DHTML，使用防frame代码可以保护你不受跨站点攻击，但攻击者仍可以强迫你点击任何链接。你所做的任何点击都被引导到恶意链接上，所以，那些Flash游戏将首当其冲。

　　最近国外的安全研究人员已经放出了该漏洞的攻击例子，以及部分细节，这种攻击是利用的CSS样式表的网页渲染功能配合IFRAME帧框架页进行的一种钓鱼网页攻击。这个攻击涉及网页设计相关的技巧，步骤是：

　　1.在第三方站点的网页先用IFRAME引入一个需要攻击的页面,将这个引入的框架页长宽设置成整个浏览窗口的大小。

　　2.在网页中使用一个CSS滤镜，将整个网页用白色滤镜遮蔽。

　　3.使用span或div设计一个层伪造一个表单提交按钮、输入框或者链接，然后利用CSS样式表设置层在网页中的位置，遮蔽住需要劫持的网页按钮、输入框或者链接。

　　攻击者使用这种方法可以制作钓鱼网页，诱导用户在不察觉的情况下，完成一些受攻击WEB程序的敏感操作。

漏洞危害：

　　攻击者可以制作一个精美的钓鱼网页，让用户在不知不觉中被控制摄像头，或完成密码修改、网银转帐等的恶意操作，给用户造成巨大的损失。

黑客攻击视频：

Flash Player File

相关文章

• 2008年11月6日 -- OWASP APPSec亚洲年会在台北盛大召开