作者:Monyer
昨天晚上Rsnake放出了clickjacking的Detail,今天大致看了下,这种攻击对于Flash来说,危险性是加倍的。想你不经意间的鼠标点击,你的摄像头就被控制了或者你的麦克风就被录音了,这是不是很恐怖?
的确如此,所以adobe才会发狂。看到里面有个有趣的事情,Firefox由于有一个noscript插件,所以可以屏蔽掉iframe抑或object;但有个问题是ie没有的,就是object的调用在IE中是个叉叉而不ff中的iframe方式。
譬如此语句:<object data=”http://www.baidu.com” width=”200″ height=”200″></object>
也因此攻击方向分成了两种,一种是对目标网站的用户行为控制,一种是通过flash或相关控件对本地资源的非授权调用。而前一种是需要用户登陆的 (对于会员权限控制型的需要,其他用意的可能甚至不需要)(对于多标签浏览器的用户来说,登陆状态的概率很大),后一种则不需要。
余弦兄弟昨天也放出demo来,同样是flash的利用,虽然还不够完美,但是你已经可以看到你无意间的留言已经跑到百度空间这里来了,假如干点别的呢?
因此在一段时间内广大用户还是少点鼠标为好,尤其是陌生的站点,呵呵。个人估计maxthon很快也会放出插件来。
Monyer
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论