![新的 DoubleClickjacking 攻击利用双击来劫持账户]( "新的 DoubleClickjacking 攻击利用双击来劫持账户")
点击劫持攻击的一种新变体“DoubleClickjacking”可让攻击者诱骗用户通过双击授权敏感操作,同时绕过针对此类攻击的现有保护措施。
点击劫持,也称为 UI 补救,是指威胁行为者创建恶意网页,诱骗访问者点击隐藏或伪装的网页元素。
攻击的工作原理是将隐藏 iframe 中的合法网页覆盖在攻击者创建的网页上。攻击者创建的网页旨在将其按钮和链接与隐藏 iframe 上的链接和按钮对齐。
然后,攻击者利用他们的网页诱骗用户点击链接或按钮,例如赢得奖励或查看可爱的图片。
然而,当他们点击该页面时,他们实际上是在点击隐藏的 iframe(合法网站)上的链接和按钮,这可能会执行恶意操作,例如授权 OAuth 应用程序连接到他们的帐户或接受 MFA 请求。
多年来,网络浏览器开发人员推出了可防止大多数此类攻击的新功能,例如不允许跨站点发送 cookie 或引入站点是否可以进行 iframe 的安全限制(X-Frame-Options 或 frame-ancestors)。
网络安全专家 Paulos Yibelo介绍了一种名为 DoubleClickjacking 的新型网络攻击,该攻击利用鼠标双击的时间来诱骗用户在网站上执行敏感操作。
在这种攻击场景中,威胁行为者将创建一个网站,上面显示一个看似无害的带有诱饵的按钮,例如“单击此处”查看您的奖励或观看电影。
当访问者点击按钮时,将创建一个新窗口,覆盖原始页面并包含另一个诱饵,例如必须解决验证码才能继续。在后台,原始页面上的 JavaScript 会将该页面更改为攻击者想要诱骗用户执行操作的合法网站。
新叠加窗口上的验证码提示访问者双击页面上的某个内容以解决验证码问题。但是,此页面会监听mousedown 事件,并在检测到事件后迅速关闭验证码叠加层,导致第二次点击落在之前隐藏的合法页面上现在显示的授权按钮或链接上。
这会导致用户错误地点击暴露的按钮,可能授权安装插件、OAuth 应用程序连接到他们的帐户或确认多因素身份验证提示。
![新的 DoubleClickjacking 攻击利用双击来劫持账户]( "新的 DoubleClickjacking 攻击利用双击来劫持账户")
这种攻击之所以如此危险,是因为它绕过了所有当前的点击劫持防御措施,因为它不使用 iframe,它不会尝试将 cookie 传递到另一个域。相反,这些操作直接发生在没有受到保护的合法网站上。
Yibelo 表示,此次攻击影响了几乎每个网站,并分享了利用 DoubleClickjacking 接管 Shopify、Slack 和 Salesforce 帐户的演示视频。
研究人员还警告说,这次攻击不仅限于网页,还可以用于浏览器扩展。
“例如,我已经对顶级浏览器加密钱包进行了概念验证,该钱包使用此技术来授权 web3 交易和 dApps 或禁用 VPN 来暴露 IP 等,”Yibelo 解释道。
为了防范此类攻击,Yibello 分享了 JavaScript,该 JavaScript 可以添加到网页中,以禁用敏感按钮,直到做出手势。这将阻止双击在移除攻击者的覆盖层时自动点击授权按钮。
研究人员还提出了一个潜在的 HTTP 标头,用于限制或阻止双击序列期间窗口之间的快速上下文切换。
信息来源 :BleepingComputer
原文始发于微信公众号(犀牛安全):新的 DoubleClickjacking 攻击利用双击来劫持账户
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
http://cn-sec.com/archives/3625777.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论