[資安筆記] Clickjacking 點閱綁架攻擊的體驗

本週五 (2009/02/13) TigerLin 跟公司申請參加了國內權威的資安顧問 - 阿碼科技所舉辦的系統工程師 Training 課程,一整個星期五都泡在 "資訊安全" 的相關話題中,感覺很特殊,跟大家分享一下。

本週五 (2009/02/13) TigerLin 跟公司申請參加了國內權威的資安顧問 - 阿碼科技所舉辦的系統工程師 Training 課程,一整個星期五都泡在 "資訊安全" 的相關話題中,感覺很特殊,跟大家分享一下。雖然說這一次主要的課程是著重在 "產品技術" 方面,但整場課程下來後發現國內的資安觀念似乎真的沒那麼好。去年恰巧有參加 OWASP 2008 亞洲年會,當初所列的 TOP 10 Attack 如下:

A1 - Cross Site Scripting (XSS)
A2 - Injection Flaws
A3 - Malicious File Execution
A4 - Insecure Direct Object Reference
A5 - Cross Site Request Forgery (CSRF)
A6 - Information Leakage and Improper Error Handling
A7 - Broken Authentication and Session Management
A8 - Insecure Cryptographic Storage
A9 - Insecure Communications
A10 - Failure to Restrict URL Access
 

第一名的 Cross Site Scripting 到目前為止,國內依然有許多網站正被攻擊或感染中,不信?到 Google 找就可輕易找到了。

而在下課休息時間,習慣性開啟了 Internet Explorer ,印入眼簾的是 "阿碼外傳" 的 BLOG,第一篇文章斗大的標題吸引到我...「模擬實戰點閱綁架手法(Challenge to Clickjacking)」。點閱綁架 (Clickjacking) 攻擊是在 OWASP 2008 美國年會被禁講的攻擊,且以各種攻擊型態來說算是很新穎的攻擊類型,之前有聽 RSnack 說明 Clickjacking 的可怕與嚴重性,大概的原理約為:

  • 連結上面被蓋了一個隱藏圖層
  • 滑鼠移到連結上時狀態列會顯示正確的位置
  • 點連結之後在上方的圖層會被觸發,並導到別的頁面或站台

聽起來沒什麼嗎?到這裡試試看就知道其攻擊的奧妙了。測試完之後有一點點 SHOCK 到,怎麼到的地方跟狀態列顯示的不同?? 馬上開了原始碼看,果然...連結上有一個 <DIV> ,按下連結時馬上被觸發了,而教室內的學員似乎也有驚嚇到,差不多有 1/3 的人都發出驚嘆的聲音。

如果今天我到某家網路購物站台要購買東西,而登入的連結被綁架到另外一個釣魚網站,帳號密碼就這麼莫名的被偷取了,還是神不知鬼不覺的狀況下,想到就毛…此攻擊目前還沒有完整防禦方法,只能經由某些瀏覽器或停用 SCRIPT 的方式來預防,上網的時候還是要提高更多警覺才是。

 

參考連結:
阿碼外傳 http://armorize-cht.blogspot.com/
RSnack Blog http://ha.ckers.org/

如果覺得這篇文章對你有所幫助,可以透過 Paypal 支持作者唷~