事情很大條啊~ 請有用 M$ Windows 的朋友(也就是幾乎每個人),請盡快安裝吧~
2008年10月26日 星期日
2008年10月11日 星期六
新的攻擊手法 Clickjacking
Clickjacking 是一個新的惡意攻擊手法,而且目前各廠牌瀏覽器都還沒有修補的方案。
參考以下資料:
[[MORE]]
簡單的說,大家都知道不明網站上的連結不要亂點,尤其出現問你「是否同意」、「確認、取消」的對話框時要特別注意。但這個漏洞則是利用 CSS 的排版技巧,用圖層去遮蓋連結。你可能只是在網頁上玩 Game,並在遊戲畫面上點來點去,結果你不知不覺點了「我同意」或是「確認」的按鈕。透過這個手法,駭客可以在你電腦中安裝軟體(因為你同意了嘛),也可以看到你的webcam視訊畫面(因為你也同意了啊),也可以傳回你的私人資料(對,你還是同意了)當然還有很多很多可能。
如果想節省時間的朋友,可以直接看這段影片瞭解該手法實際應用時的樣子:Youtube
膽子大一點的可以實際體驗一下遭受攻擊的感覺:Camera ClickJacking - The Game
我剛剛試了一下 Firefox + NoScript 擴充套件,預設是不會被攻擊的。再進一步解決方法出現之前,建議大家可以先安裝 NoScript 套件,雖然上網會不方便些,但是相對的安全許多。
還有不要上不明的網站,也要小心常上的網站突然改變排版或突然問你很多問題。
參考以下資料:
- iThome online :: 專家警告「點閱綁架」漏洞讓瀏覽器無一倖免
- 維基百科:Clickjacking
- Clickjacking Details
- 最新的跨瀏覽器攻擊手法:Clickjacking
[[MORE]]
簡單的說,大家都知道不明網站上的連結不要亂點,尤其出現問你「是否同意」、「確認、取消」的對話框時要特別注意。但這個漏洞則是利用 CSS 的排版技巧,用圖層去遮蓋連結。你可能只是在網頁上玩 Game,並在遊戲畫面上點來點去,結果你不知不覺點了「我同意」或是「確認」的按鈕。透過這個手法,駭客可以在你電腦中安裝軟體(因為你同意了嘛),也可以看到你的webcam視訊畫面(因為你也同意了啊),也可以傳回你的私人資料(對,你還是同意了)當然還有很多很多可能。
如果想節省時間的朋友,可以直接看這段影片瞭解該手法實際應用時的樣子:Youtube
膽子大一點的可以實際體驗一下遭受攻擊的感覺:Camera ClickJacking - The Game
我剛剛試了一下 Firefox + NoScript 擴充套件,預設是不會被攻擊的。再進一步解決方法出現之前,建議大家可以先安裝 NoScript 套件,雖然上網會不方便些,但是相對的安全許多。
還有不要上不明的網站,也要小心常上的網站突然改變排版或突然問你很多問題。
2008年10月9日 星期四
馬賽克的危險
有時候為了「有圖有真相」,有的人會把一些私人資料放到部落格,例如身份證、帳單等等,但又為了安全起見,放上去的圖片會用馬賽克把敏感的部分抹除。(例如消去身份證字號幾個號碼)
但小心了,馬賽克所抹除的文數字是有可能被還原回來的!
因為馬賽克雖然把文字內容變成圖塊,但不同的文字可能會變成不同顏色的圖塊,使用程式反覆比對,是可能還原出原始文數字的。那...有沒有解決的方法呢? 就是不要使用馬賽克,改用全黑、全白的單色方塊直接劃掉那些資訊,就像報紙上新聞照片處理被害者的眼睛那樣。
請看以下的原理與實作範例:
但小心了,馬賽克所抹除的文數字是有可能被還原回來的!
因為馬賽克雖然把文字內容變成圖塊,但不同的文字可能會變成不同顏色的圖塊,使用程式反覆比對,是可能還原出原始文數字的。那...有沒有解決的方法呢? 就是不要使用馬賽克,改用全黑、全白的單色方塊直接劃掉那些資訊,就像報紙上新聞照片處理被害者的眼睛那樣。
請看以下的原理與實作範例:
訂閱:
文章 (Atom)