Web大威胁?
前几天Jeremiah与RSnake在他们的博客上分别提到了他们发现的一种危害极大的web攻击方式:Clickjacking(这里,这里)。正由于这个原因,他们取消了在即将到来的OWASP 2008会议上的演讲。
刚刚回来看到了阿玛外传里的相关文章:《Web 大威脅:Jeremiah 與 RSnake 於 OWASP 美國年會禁講!》。按他们的说法要解决这个威胁,只有这两种选择:
1、全世界的网站都得修补这个漏洞。
2、所有的浏览器厂商给自己的浏览器打上个相关补丁。
并且Clickjacking的那些demos中其中有一个牵涉到了Adobe产品的一个高危漏洞。从Adobe的这篇公告中可以看出Adobe与浏览器厂商将采取的行动:修补。
那就是说在修补之前,我们是看不到Clickjacking细节了。不过从Jeremiah的文章中可以看出关于Clickjacking的一些信息:
1、攻击者使用Clickjacking技术,欺骗用去点击某些隐藏的链接,然后劫持这个点击事件而发起的攻击(是这样的么?)。
2、这样的攻击可以很容易、很安静地进行。
3、与传统的攻击方式不同,他们发现的Clickjacking更接近于普通的浏览器行为。正因为这个原因,才要求所有的浏览器厂商重视起来。
那么,这个Clickjacking到底是什么?