Clickjacking的一些细节

作者:Monyer

昨天晚上Rsnake放出了clickjacking的Detail,今天大致看了下,这种攻击对于Flash来说,危险性是加倍的。想你不经意间的鼠标点击,你的摄像头就被控制了或者你的麦克风就被录音了,这是不是很恐怖?

的确如此,所以adobe才会发狂。看到里面有个有趣的事情,Firefox由于有一个noscript插件,所以可以屏蔽掉iframe抑或object;但有个问题是ie没有的,就是object的调用在IE中是个叉叉而不ff中的iframe方式。

譬如此语句:<object data=”http://www.baidu.com” width=”200″ height=”200″></object>

也因此攻击方向分成了两种,一种是对目标网站的用户行为控制,一种是通过flash或相关控件对本地资源的非授权调用。而前一种是需要用户登陆的 (对于会员权限控制型的需要,其他用意的可能甚至不需要)(对于多标签浏览器的用户来说,登陆状态的概率很大),后一种则不需要。

余弦兄弟昨天也放出demo来,同样是flash的利用,虽然还不够完美,但是你已经可以看到你无意间的留言已经跑到百度空间这里来了,假如干点别的呢?

因此在一段时间内广大用户还是少点鼠标为好,尤其是陌生的站点,呵呵。个人估计maxthon很快也会放出插件来。

Monyer

相关日志

抢楼还有机会... 抢座Rss 2.0或者 Trackback

  • lAnG

    我要用Linux下那个文本行的浏览器~~~~

发表评论