Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1203014
  • 博文数量: 272
  • 博客积分: 3899
  • 博客等级: 中校
  • 技术积分: 4734
  • 用 户 组: 普通用户
  • 注册时间: 2012-06-15 14:53
文章分类

全部博文(272)

文章存档

2012年(272)

分类: 网络与安全

2012-06-25 15:39:31

RSnake  Jeremiah Grossman 本来说因为Adobe的请求所以不去OWASP大会讲了,但是看来他们还是决定去讲一部分。从今天部分参加了OWASP的朋友的描述来看,ClickJacking大致是这么回事:

1.
表现为点击某个链接或button时,实际上是点击到别的地方去了(劫持链接)
2.
不一定需要javascript,所以noscript也挡不住,但是如果有javascript会让事情更简单
3.
攻击是基于DHTML
4.
使用lynx浏览器的话,不会受到影响(因为这玩意太简陋了)
5.
需要攻击者一定程度上控制页面
6.
如果禁用iframe的话,可以防止跨域的clickjacking
7.
在一个flash游戏中点击的话(一般会有大量鼠标点击),效果会更好(估计adobe公司担心的这个?)

于是,有人推测是在当前窗口下创建一个隐藏的frame,我稍微想了下,觉得通过隐藏frame来做到clickjacking是有可能的,请多参阅下我的 Cross Iframe Trickthe Old New Thing 的文章,以及另外一篇利用cross iframe在本域执行js的文章 突破IE安全限制获取iframe子框架内的本地cookie 

思路和出发点可能不同,但是iframe确实可以做很多事情。

今天就要出发去青海了,没时间继续研究了,有朋友感兴趣的话,请挖掘一下,要是有结果了,别忘记告诉我一下~~~~

共享万岁!

阅读(1376) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~