OWASP 心得分享之1 - Clickjacking
Day 2 開場的 由 Robert "RSnake" Hansen 主講的 Clickjacking (這 Topic 在 9月份的 OWASP 年會被禁講)
算是給 Pogo 十分印象深刻的 Topic 之一概述如下
官方的簡報 Pogo 還在想法子取得中, 先看看相關話題由網路上資料的整理
先來看一段 Demo
維基百科上的資料
傳統的 Browser 攻擊, 大多是透過 ActiveX 或 Java Script 方式, 所以, 傳統上, 要完全防止這些攻擊, 只能關閉相關功能, 但會讓 Browser 使用上不方便多了, 所以大部分的人還是會開
Clickjacking 最大的問題在, 他不用透過 任何 ActiveX 或 Java Script , 透過 iframe 以畫面(網頁)重疊方式欺騙 user 按到錯誤(或不應開啟)的功能上
以 Demo 影片為例, 1:00 前是展示運作狀況, 1:00 後是相同功能重疊在其他頁面上示範, 做的是 Click 後開啟 Web Cam, 的動作
要知道的是, 這個 Click 按鍵能假造成任意網頁的連結樣式, 使用者會在不經意下 "授權" 給任何功能, 除了一般過往攻擊能達到的效困外在, 連傳統上與 Browser 完全不相干的 Web Cam 都能開啟, 代表什麼鬼動作都能執行, 如欺騙 User 安裝 "合法" 的遠端搖控程式, 再 "合法授權" 網路 Port 的開啟, 或更進一步的應用, 更糟的是, 由於一切過程 "經用戶合法授權確認" 所以目前無防毒, IPS, 或弱點掃描等等有對策...
算是給 Pogo 十分印象深刻的 Topic 之一概述如下
官方的簡報 Pogo 還在想法子取得中, 先看看相關話題由網路上資料的整理
先來看一段 Demo
維基百科上的資料
傳統的 Browser 攻擊, 大多是透過 ActiveX 或 Java Script 方式, 所以, 傳統上, 要完全防止這些攻擊, 只能關閉相關功能, 但會讓 Browser 使用上不方便多了, 所以大部分的人還是會開
Clickjacking 最大的問題在, 他不用透過 任何 ActiveX 或 Java Script , 透過 iframe 以畫面(網頁)重疊方式欺騙 user 按到錯誤(或不應開啟)的功能上
以 Demo 影片為例, 1:00 前是展示運作狀況, 1:00 後是相同功能重疊在其他頁面上示範, 做的是 Click 後開啟 Web Cam, 的動作
要知道的是, 這個 Click 按鍵能假造成任意網頁的連結樣式, 使用者會在不經意下 "授權" 給任何功能, 除了一般過往攻擊能達到的效困外在, 連傳統上與 Browser 完全不相干的 Web Cam 都能開啟, 代表什麼鬼動作都能執行, 如欺騙 User 安裝 "合法" 的遠端搖控程式, 再 "合法授權" 網路 Port 的開啟, 或更進一步的應用, 更糟的是, 由於一切過程 "經用戶合法授權確認" 所以目前無防毒, IPS, 或弱點掃描等等有對策...
根據國外的一些新聞與資料,在美國之所以被「禁講」的最大推手應該就是Adobe。而如果有用過一些程式的人就會知道,Adobe有些程式碼是可以在Flash程式中直接驅動Webcam及周邊裝置的。
回覆刪除而Clickjacking所發現的漏洞,我猜想有很大多數都是在Adobe裡面,而瀏覽器原生漏洞可能反而沒有Adobe Flash多...
不過由於RSnake都還沒有「講清楚過」,現在只好猜測了....