Web大威胁?

前几天Jeremiah与RSnake在他们的博客上分别提到了他们发现的一种危害极大的web攻击方式:Clickjacking(这里这里)。正由于这个原因,他们取消了在即将到来的OWASP 2008会议上的演讲。

刚刚回来看到了阿玛外传里的相关文章:《Web 大威脅:Jeremiah 與 RSnake 於 OWASP 美國年會禁講!》。按他们的说法要解决这个威胁,只有这两种选择:

1、全世界的网站都得修补这个漏洞。
2、所有的浏览器厂商给自己的浏览器打上个相关补丁。

并且Clickjacking的那些demos中其中有一个牵涉到了Adobe产品的一个高危漏洞。从Adobe的这篇公告中可以看出Adobe与浏览器厂商将采取的行动:修补。

那就是说在修补之前,我们是看不到Clickjacking细节了。不过从Jeremiah的文章中可以看出关于Clickjacking的一些信息:

1、攻击者使用Clickjacking技术,欺骗用去点击某些隐藏的链接,然后劫持这个点击事件而发起的攻击(是这样的么?)。

2、这样的攻击可以很容易、很安静地进行。

3、与传统的攻击方式不同,他们发现的Clickjacking更接近于普通的浏览器行为。正因为这个原因,才要求所有的浏览器厂商重视起来。

那么,这个Clickjacking到底是什么?

posted on 2008-11-24 16:50  一江水  阅读(474)  评论(1编辑  收藏  举报