OWASP会议上的Clickjacking
作者:刺
RSnake 和 Jeremiah Grossman 本来说因为Adobe的请求所以不去OWASP大会讲了,但是看来他们还是决定去讲一部分。从今天部分参加了OWASP的朋友的描述来看,ClickJacking大致是这么回事:
1. 表现为点击某个链接或button时,实际上是点击到别的地方去了(劫持链接)
2. 不一定需要javascript,所以noscript也挡不住,但是如果有javascript会让事情更简单
3. 攻击是基于DHTML的
4. 使用lynx浏览器的话,不会受到影响(因为这玩意太简陋了)
5. 需要攻击者一定程度上控制页面
6. 如果禁用iframe的话,可以防止跨域的clickjacking
7. 在一个flash游戏中点击的话(一般会有大量鼠标点击),效果会更好(估计adobe公司担心的这个?)
于是,有人推测是在当前窗口下创建一个隐藏的frame,我稍微想了下,觉得通过隐藏frame来做到clickjacking是有可能的,请多参阅下我的 Cross Iframe Trick:the Old New Thing 的文章,以及另外一篇利用cross iframe在本域执行js的文章 突破IE安全限制获取iframe子框架内的本地cookie
思路和出发点可能不同,但是iframe确实可以做很多事情。
今天就要出发去青海了,没时间继续研究了,有朋友感兴趣的话,请挖掘一下,要是有结果了,别忘记告诉我一下~~~~
共享万岁!
你好,今天下载你的arpsnoof 之后,发现该程序在转发的时候,只能发送不能接收,是否可指点一二?
Cool!