阿碼外傳-阿碼科技非官方中文 Blog: 2009/2/2

2009年2月2日

模擬實戰點閱綁架手法(Challenge to Clickjacking)

啥是點閱綁架(Clickjacking)呢?
用講的太慢啦...直接來親身體驗最快。
這裡有我們實作的體驗網站 (IE 已經可被利用)。畫面如下:


實戰點閱綁架,這網頁並無惡意攻擊,只是導向到另外一個 Blog 網頁,請放心。主要在於讓大家了解何謂「點閱綁架(Clickjacking)」,將滑鼠移到超連結處,檢查左下角落的連結網址,發現哪有不一樣嗎?明明是應該要連結到 google 網站的不是嗎?你連到哪了呢?目前已知可以成功的瀏覽器:
1.Firefox 3.0.5
2.Chrome 1.0.154.43
3.Safari 3.2.1 (for windows)
4.IE 7.0.6001

手法剖析:
1.如果瀏覽器有問題(上述瀏覽器),該連結將不會連結至 google 網站,而是其他網站。
2.如果正常連結至 google 網站,表示不受影響。
3.有心人士可以利用此手法將惡意連結夾帶其中,偽裝成銀行或一般正常連結(URL)。

之前還有一篇文「模擬實戰釣魚網站」,都是希望大家能有些防禦觀念,了解攻擊、詐騙手法,自然就會多一分小心的。

本文同步張貼於「資安之我見」。

繼續閱讀全文...