阿碼外傳-阿碼科技非官方中文 Blog: 模擬實戰點閱綁架手法(Challenge to Clickjacking)

2009年2月2日

模擬實戰點閱綁架手法(Challenge to Clickjacking)

啥是點閱綁架(Clickjacking)呢?
用講的太慢啦...直接來親身體驗最快。
這裡有我們實作的體驗網站 (IE 已經可被利用)。畫面如下:


實戰點閱綁架,這網頁並無惡意攻擊,只是導向到另外一個 Blog 網頁,請放心。主要在於讓大家了解何謂「點閱綁架(Clickjacking)」,將滑鼠移到超連結處,檢查左下角落的連結網址,發現哪有不一樣嗎?明明是應該要連結到 google 網站的不是嗎?你連到哪了呢?目前已知可以成功的瀏覽器:
1.Firefox 3.0.5
2.Chrome 1.0.154.43
3.Safari 3.2.1 (for windows)
4.IE 7.0.6001

手法剖析:
1.如果瀏覽器有問題(上述瀏覽器),該連結將不會連結至 google 網站,而是其他網站。
2.如果正常連結至 google 網站,表示不受影響。
3.有心人士可以利用此手法將惡意連結夾帶其中,偽裝成銀行或一般正常連結(URL)。

之前還有一篇文「模擬實戰釣魚網站」,都是希望大家能有些防禦觀念,了解攻擊、詐騙手法,自然就會多一分小心的。

本文同步張貼於「資安之我見」。

11 篇回應 :

Alvin 提到...

直接點選就會中獎,看來只能用按右建來避免了...

Alvin 提到...

用FireFox的NoScript亦可避免.

squall 提到...

2.目前已知 IE 瀏覽器可正常連結至 google 網站(不受影響)。

我測試了IE 7跟IE 8都會有相同的問題,可能只剩下IE 6沒事了吧? 基本上真的挺危險的..
至於用NoScript的確可以避免,但是要永遠關閉Script感覺有點像是因噎廢食..Orz

Crane_Ku 提到...

謝謝大家的意見。因為這手法有用到 script,所以 NoScript 是有效果的。我想上網還是需要選擇適當的瀏覽器,"不同時機使用不同瀏覽器"是需要的。因為有些金融交易網站必須使用 Active X 所以非得用 IE,若瀏覽風險較高的網站時 FF 3+NoScript我想是必較好的選擇,當然最重要的還是個人觀念。

Alvin 提到...

IE調整成最高安全模式,亦可避免。但無論是改IE安全等及、或使用FireFox的NoScript,都很少人會主動使用,因為要犧牲太多功能了。所以...真的是蠻危險的...

路人 提到...

一開始按中鍵沒發現=P

匿名 提到...

Chrome 1.0.154.48仍未得到改善
chromium2.0.160.0(8804)也是一樣

網工 提到...

好驚人的手法
連眼睛見到的都不可以相信了
看實戰網頁的原始碼 好像也沒多出其他網址
這Script是加在哪裡?

Attitude 提到...

好厲害的綁架手法,利用script這麼的極致!

Billy 提到...

hyperlink onclick 的時候會執行Javascript function - updatebox(event),把包含 onmouseover 設定 location 到 http://armorize-cht.blogspot.com/ 的 mydiv 放在你的mouse 下來觸發這個redirect。

這個應該不是bug 吧,不過這應該要看看onmouseover 的觸發而定,element 變更位置放在mouse pointer 下亦算mouseover,之前也沒想到這想可以被利用。

最簡單的欺騙是這個
Google在onclick 加上一個 location 到別的地方的網址,再return false。

不過沒有甚麼人會沒事看source code 吧,所以幾種方法沒有甚麼區別。

匿名 提到...

Firefox3.5.1照樣上勾
但是用外掛滑鼠手勢拖拉開啟成功看到google..

張貼留言