阿碼外傳-阿碼科技非官方中文 Blog: 02/01/2009 - 03/01/2009

2009年2月27日

破解點閱綁架手法(Crack Clickjacking)

看完「模擬實戰點閱綁架手法」一文,是否有心得感想呢?沒...挖勒!!

這裡寫些我的心得囉。既然整個「點閱綁架(Clickjacking)」的關鍵在"點選(Click)"動作,如果要靠防護設備或工具,可以選擇如 NoScript 或 WRS ...等,來提升瀏覽環境的安全性,但是都有萬一擋不住的問題,靠別人實在不可靠的。

所以在這裡提供靠自己的解決方案:
1.善用「複製連結」方式
 別忘了滑鼠的右鍵(對慣用右手的人),如後面數個瀏覽器的附圖可參考。然後貼到瀏覽器的網址列上,這樣還可以檢查及確定要連往的網站。
2.還有「標記(Mark)->複製(Copy)->貼上(Paste)」一式
與前項有異曲同工之妙。
總之,「關鍵時刻」讓食指離滑鼠左鍵遠一點。






也許有人說這樣瀏覽網站會很累人。的確,我不否認。我也絕對不會這樣幹的。
方便與安全總是在天秤的兩端,但也不能因噎廢食,所以這也取決你身處風險,來決定使否該使出絕招的。當發現身處危險環境時,該如何自處?該有何因應呢?至少,在不可信任的網頁或環境(IM or E-Mail...)中,該用這招的。

另外,值得一提的是:對付釣魚手法的觀念與技巧
1.若「我的最愛」中有的連結網址,決不使用其他超連結。
如果「我的最愛」中的連結網址有釣魚網站,這我就不知該說啥了...XD。常見的郵件或網站中連結、IM 送來的連結...等,都是常見會被利用的釣魚網站連結,所以都要特別注意。
2.若是連結不熟悉的網站,一定要選用防護強化的瀏覽環境
你一定要有安全的瀏覽環境,例如 Firefox 3 + NoScript 是個不錯的選擇,當然還有其他強化瀏覽安全的軟體或元件,這是你上網的一個課題,一定得去了解的,透過了解的過程也能熟悉威脅所在。
3.輸入帳密前要先想一想
無論何時,要在網站上輸入帳密時,都要想想是否被騙了?是否連上釣魚網站?很多地方在騙帳密資料的,可以參考這裡,還有這裡
4.騙術終究是騙術
畢竟騙術中一定有它的梗、釣魚得有它的餌,前面一定都會有很多鋪陳,看多了自然能識破,所以要強化個人敏感度。如果上當了,第一線交由防護設備查覺,對於防禦工事的任何警訊都要加以注意的。第二線也是最後的個人警覺性了,看是否能在最後踩住剎車或進行應變處理。
5.事後補救措施
總是有上當的時候,我也曾經上當的,常常都是因為心急、貪快,現在就知道「戒急用忍」,你呢?你的原因是啥?你一定得去分析、了解,才能知道弱點在哪。所以,查覺上當之後,當然要有因應措施,例如進行密碼變更、系統檢查...等。

現在有很多「虛擬機器」如 VMWareVirtualPC...等,或許在虛擬環境中上網或進行一般操作,不失為一選擇,即使出問題也可以即時復原,當然在虛擬環境中也應該與重要資料做切割,必要時進行帳密修正,達到一定的安全性。

繼續閱讀全文...

2009年2月2日

模擬實戰點閱綁架手法(Challenge to Clickjacking)

啥是點閱綁架(Clickjacking)呢?
用講的太慢啦...直接來親身體驗最快。
這裡有我們實作的體驗網站 (IE 已經可被利用)。畫面如下:


實戰點閱綁架,這網頁並無惡意攻擊,只是導向到另外一個 Blog 網頁,請放心。主要在於讓大家了解何謂「點閱綁架(Clickjacking)」,將滑鼠移到超連結處,檢查左下角落的連結網址,發現哪有不一樣嗎?明明是應該要連結到 google 網站的不是嗎?你連到哪了呢?目前已知可以成功的瀏覽器:
1.Firefox 3.0.5
2.Chrome 1.0.154.43
3.Safari 3.2.1 (for windows)
4.IE 7.0.6001

手法剖析:
1.如果瀏覽器有問題(上述瀏覽器),該連結將不會連結至 google 網站,而是其他網站。
2.如果正常連結至 google 網站,表示不受影響。
3.有心人士可以利用此手法將惡意連結夾帶其中,偽裝成銀行或一般正常連結(URL)。

之前還有一篇文「模擬實戰釣魚網站」,都是希望大家能有些防禦觀念,了解攻擊、詐騙手法,自然就會多一分小心的。

本文同步張貼於「資安之我見」。

繼續閱讀全文...