危險Clickjacking漏洞讓你做駭客幫兇(視頻)

【賽迪網-IT技術綜合報道】日前，一個非常可怕的跨瀏覽器攻擊漏洞Clickjacking正在逐漸顯露在人們面前。通過這個Clickjacking漏洞你會在毫不知情的情況下“幫助”駭客“控制”你電腦上的攝像頭和麥克風。

這個Clickjacking漏洞具有及其良好的跨平臺性，能夠影響所有主流桌面平臺包括IE、Firefox、Safari、Opera 以及 Adobe Flash。

這個被稱為 發現這個Clickjacking漏洞的是Robert Hansen與Jeremiah Grossman兩名安全研究專家，從他們已經透露的一點相關資訊來看，這個安全危險相當嚴重。

考慮到這個漏洞的高度危害性，經Adobe等廠商請求，OWASP NYC AppSec 2008大會將暫不對其進行公佈。

什麼是Clickjacking？

在中文裏，Clickjacking可以翻譯為“點擊劫持”，而國外資料裏對其的解釋是“UI redress vulnerabilities(介面偽裝漏洞 )”。

據參加OWASP半公開演示的人士介紹，這個漏洞與JavaScript無關，卻能影響所有瀏覽器。

簡單的說Clickjacking是一種攻擊，是一種新型的WEB方式攻擊。其中所涉及到的“Flash Player漏洞”，其實只是Clickjacking安全漏洞的一種表現形式，駭客可以通過一個簡單的Flash遊戲控制用戶的攝像頭或麥克風。

Clickjacking漏洞原理解析

在一個已經公佈的Clickjacking Demo演示程式中我們不難發現Clickjacking的內涵。

在你可控制的頁面A內有一個iframe，iframe的src鏈結到另一個域的頁面B。設置這個iframe的CSS樣式的透明度為0，並設置其CSS樣式的z-index比頁面A的其他元素的z-index大。這個iframe的 Width與Height值都設置為足以保證用戶可以點擊到其中內容(頁面B的內容)的大小。然後在頁面A上放置一些按鈕、鏈結等可以欺騙用戶點擊的元素，這些元素在iframe之下(z-index值決定)，並恰好與 iframe的頁面B內的關鍵元素在同一個位置。於是當用戶被欺騙去點擊頁面A內的這些元素時，實際上點擊了頁面B內的關鍵元素，這些元素可以是：刪除按鈕、添加按鈕、單選框、請求鏈結等等。再加上一些社會工程學技巧，這類攻擊方式可以進行得非常巧妙。

這種Clickjacking漏洞攻擊基於DHTML技術，用到了iframe，而且這樣的攻擊方式不一定需要JavaScript。雖然使用防iframe代碼可以保護你不受跨站點攻擊，但攻擊者仍可以迫使你點擊任何其指定的鏈結。

類似的欺騙還有——onMouseUpJacking、FormJacking、SubmitJacking——點擊劫持。

如果駭客精心設計Clickjacking攻擊頁面，那麼無論網頁訪問者進行正常滑鼠點擊還是無意間的滑鼠點擊動作，都可能會點擊激發背後的隱形身影，而這個隱形身影則可以包括下載木馬、打開攝像頭等各類惡意行為。

據Hansen講，他們已經同微軟以及Mozilla談論過這個問題，然而他們均表示這個問題非常棘手，目前沒有簡單的解決辦法。Grossman更確切表示，微軟最新的IE 8和Mozilla最新的Firefox 3均不能倖免。

那麼除非你使用lynx一類的字符瀏覽器，同時不要任何動態的東西，這樣才能保護自己。由於這個漏洞與JavaScript無關，所以即便你關閉瀏覽器的JavaScript功能也無能為力。事實上這是瀏覽器工作原理中的一個缺陷，無法通過簡單的補丁解決。

解決方案

Adobe解決方案

Adobe對於Flash Player引起的Clickjacking漏洞作出回應，給出了臨時解決方案，可以避免被駭客控制你的攝像頭或者是麥克風。(Clickjacking漏洞影響AdobeFlash9.0.124.0之前的所有版本。)

To prevent this potential issue, customers can change their Flash Player settings as 
follows:
1.Access the Global Privacy Settings panel of the Adobe Flash Player Settings Manager at 
the following URL: 
http://www.adobe.com/support/documentation/en/flashplayer/help/settings_manager02.html 
2.Select the "Always deny" button. 
3.Select ‘Confirm’ in the resulting dialog. 
4.Note that you will no longer be asked to allow or deny camera and / or microphone 
access after changing this setting. 
Customers who wish to allow certain sites access to their camera and / or microphone can 
selectively allow access to certain sites via the Website Privacy Settings panel of the 
Settings Manager at the following URL: 
http://www.adobe.com/support/documentation/en/flashplayer/help/settings_manager06.html.

用戶可以通過改變Flash Player設置來避免Clickjacking漏洞帶來的安全威脅：

1.下面的網址是一個全球個人Adobe Flash Player設置管理模板，在這裡可以對不同版本的Flash Player進行針對Clickjacking漏洞的安全設置：

http://www.adobe.com/support/documentation/en/flashplayer/help/settings_manager02.html

2.打開上面的設置模板頁面後，頁面會判斷你的Flash Player版本，並給出設置頁面，選擇裏面的“始終拒絕”按鈕。

3.在彈出的窗口裏選擇“確定”按鈕。

4.注意：進行這個設置後，就無法允許或者拒絕對攝像機、麥克風的訪問。

如果想允許某個特定站點上的內容訪問攝像機或麥克風，請訪問下面的網址，進入全球個人Adobe Flash Player設置管理模板：

http://www.adobe.com/support/documentation/en/flashplayer/help/settings_manager06.html

瀏覽器解決方案

Firefox 3的NoScript(1.8.2以上版本)插件可以防禦Clickjacking漏洞攻擊。NosSript也給出了ClearClick保護來防禦Clickjacking漏洞可能造成的危害。

駭客攻擊演示視屏

下面的視頻演示了駭客利用Clickjacking漏洞發起攻擊的實現過程：

(部分資料來源：金山毒霸官方博客、Adobe官方網站)

(責任編輯：李磊)