每日一句: Build your own dreams, or someone else will hire you to build theirs. 打造自己的梦想,否则你就会被雇用去打造别人的梦想。 跟读

汉语站

2017年8月19日 星期六

丁酉(鸡)年闰六廿八

安全专家们最近发出警告,一个最新发现的跨浏览器攻击漏洞将带来非常可怕的安全问题,该漏洞影响所有主流桌面平台,包括,IE,Firefox,Safari,Opera以及AdobeFlash。这个被称为Clickjacking的安全威胁,原本要在OWASPNYCAppSec2008大会上公布,但包括Adobe在内的厂商请求暂时不要公开这个漏洞,直到他们开发出安全补丁。发现这个漏洞的是两个安全研究专家,RobertHansen与JeremiahGrossman,他们已经略透露了一点相关信息以显示该安全威胁的严重性。

Clickjacking - 什么是Clickjacking [回目录]

简单的说Clickjacking是一种攻击,是一种新型的WEB方式攻击。Clickjacking翻译可将他拆成click-jacking来理解,click是点击的意思,jacking应是劫持的意思。连起来翻译就是“点击劫持”。
     

Clickjacking - Clickjacking相关资料 [回目录]

GDI+图片漏洞之后,又一影响更为深远的攻击漏洞Clickjacking被揭露。通过此漏洞,黑客可以控制用户的浏览器,在用户毫不知情的情况下点击任意链接、任意按钮或者网上任意的东西。黑客可以轻易利用"clickjacking"控制摄像头和麦克风,并可以进一步利用病毒木马,盗取用户网银,游戏帐户,QQ帐户等用户虚拟财产或者控制用户摄像头偷窥用户隐私……

1、影响范围:所有主流的桌面平台,包括IEFirefoxSafariOpera以及AdobeFlash

2、相关的情景假设:

(1)当你访问一个恶意网站的时候,攻击者可以控制你的浏览器对一些链接的访问,这个漏洞影响到几乎所有浏览器,除非你使用lynx一类的字符浏览器。这个漏洞与JavaScript无关,即使你关闭浏览器的JavaScript功能也无能为力。事实上这是浏览器工作原理中的一个缺陷,无法通过简单的补丁解决。一个恶意网站能让你在毫不知情的情况下点击任意链接,任意按纽或网站上任意东西。

(2)比如在Ebay,因为可以嵌入JavaScript,虽然攻击并不需要JavaScript,但可以让攻击更容易进行。只用lynx字符浏览器才能保护你自己,同时不要任何动态的东西。该漏洞用到DHTML,使用防frame代码可以保护你不受跨站点攻击,但攻击者仍可以强迫你点击任何链接。你所做的任何点击都被引导到恶意链接上,所以,那些Flash游戏将首当其冲。

Clickjacking - 补丁工具 [回目录]

金山专补工具下载地址:
http://down.www.kingsoft.com/db/download/othertools/ClickjackingFix.exe

Clickjacking金山补丁
金山补丁

360“Flash强制启动视频”漏洞修补工具

http://dl.360safe.com/360flashvfix.exe

Clickjacking360补丁
360补丁

Clickjacking - 手动解决方案 [回目录]

当前,最简单的办法是禁用浏览器的脚本和插件功能。
1、通过如下路径找到mms.cfg文件:C:WINDOWSsystem32MacromedFlash;
2、用记事本打开该文件;
3、将AVHardwareDisable的值从0改为1,保存退出即可。

词条内容仅供参考,如果您需要解决具体问题
(尤其在法律、医学等领域),建议您咨询相关领域专业人士。

标签: Clickjacking

同义词: 暂无同义词

词条统计

浏览次数 : 7521 次

编辑次数 : 1 次 历史版本

更新时间 : 2009-07-23

双语连环画