作者:刺
RSnake 和 Jeremiah Grossman 本来说因为Adobe的请求所以不去OWASP大会讲了,但是看来他们还是决定去讲一部分。从今天部分参加了OWASP的朋友的描述来看,ClickJacking大致是这么回事:
1. 表现为点击某个链接或button时,实际上是点击到别的地方去了(劫持链接)
2. 不一定需要javascript,所以noscript也挡不住,但是如果有javascript会让事情更简单
3. 攻击是基于DHTML的
4. 使用lynx浏览器的话,不会受到影响(因为这玩意太简陋了)
5. 需要攻击者一定程度上控制页面
6. 如果禁用iframe的话,可以防止跨域的clickjacking
7. 在一个flash游戏中点击的话(一般会有大量鼠标点击),效果会更好(估计adobe公司担心的这个?)
于是,有人推测是在当前窗口下创建一个隐藏的frame,我稍微想了下,觉得通过隐藏frame来做到clickjacking是有可能的,请多参阅下我的 Cross Iframe Trick:the Old New Thing 的文章,以及另外一篇利用cross iframe在本域执行js的文章 突破IE安全限制获取iframe子框架内的本地cookie
思路和出发点可能不同,但是iframe确实可以做很多事情。
今天就要出发去青海了,没时间继续研究了,有朋友感兴趣的话,请挖掘一下,要是有结果了,别忘记告诉我一下~~~~
共享万岁!
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论