鬼仔's Blog

作者：Monyer

昨天晚上Rsnake放出了clickjacking的Detail，今天大致看了下，这种攻击对于Flash来说，危险性是加倍的。想你不经意间的鼠标点击，你的摄像头就被控制了或者你的麦克风就被录音了，这是不是很恐怖？

的确如此，所以adobe才会发狂。看到里面有个有趣的事情，Firefox由于有一个noscript插件，所以可以屏蔽掉iframe抑或object；但有个问题是ie没有的，就是object的调用在IE中是个叉叉而不ff中的iframe方式。

譬如此语句：<object data=”http://www.baidu.com” width=”200″ height=”200″></object>

也因此攻击方向分成了两种，一种是对目标网站的用户行为控制，一种是通过flash或相关控件对本地资源的非授权调用。而前一种是需要用户登陆的 (对于会员权限控制型的需要，其他用意的可能甚至不需要)（对于多标签浏览器的用户来说，登陆状态的概率很大），后一种则不需要。

余弦兄弟昨天也放出demo来，同样是flash的利用，虽然还不够完美，但是你已经可以看到你无意间的留言已经跑到百度空间这里来了，假如干点别的呢？

因此在一段时间内广大用户还是少点鼠标为好，尤其是陌生的站点，呵呵。个人估计maxthon很快也会放出插件来。

Monyer