參考以下資料:
- iThome online :: 專家警告「點閱綁架」漏洞讓瀏覽器無一倖免
- 維基百科:Clickjacking
- Clickjacking Details
- 最新的跨瀏覽器攻擊手法:Clickjacking
[[MORE]]
簡單的說,大家都知道不明網站上的連結不要亂點,尤其出現問你「是否同意」、「確認、取消」的對話框時要特別注意。但這個漏洞則是利用 CSS 的排版技巧,用圖層去遮蓋連結。你可能只是在網頁上玩 Game,並在遊戲畫面上點來點去,結果你不知不覺點了「我同意」或是「確認」的按鈕。透過這個手法,駭客可以在你電腦中安裝軟體(因為你同意了嘛),也可以看到你的webcam視訊畫面(因為你也同意了啊),也可以傳回你的私人資料(對,你還是同意了)當然還有很多很多可能。
如果想節省時間的朋友,可以直接看這段影片瞭解該手法實際應用時的樣子:Youtube
膽子大一點的可以實際體驗一下遭受攻擊的感覺:Camera ClickJacking - The Game
我剛剛試了一下 Firefox + NoScript 擴充套件,預設是不會被攻擊的。再進一步解決方法出現之前,建議大家可以先安裝 NoScript 套件,雖然上網會不方便些,但是相對的安全許多。
還有不要上不明的網站,也要小心常上的網站突然改變排版或突然問你很多問題。
沒有留言:
張貼留言