前一陣子在一次偶然的機會中,被一位高手問到 (應該說是考到) 什麼是 Clickjacking,又要怎麼防備?老實說,雖然 Clickjacking 這個手法剛被提出時我就注意到相關的新聞,但是當時尚未公布實際的手法,再加上 Clickjacking 一直不像 SQL Injection、XSS 這些手法這麼普及 (OWASP Top 10 還排不上),所以後來我就一直沒有動力去研究 Clickjacking 這個手法。因此,只記得當時我真的是比穿黑衣還掉了滿身的頭皮屑還糗。不過話說回來,學習永遠不嫌晚,所以我趕緊惡補了一下,並透過這篇文章跟各位分享一下 Clickjacking 這個很危險卻還沒有被廣泛應用的攻擊手法。
Clickjacking,簡單來說就是將使用者在瀏覽網頁的點擊動作進行綁架,讓點擊動作產生非使用者所預期的行為。Clickjacking 最初公布的 例子,也是最著名的例子,就是利用隱形頁框 (invisible iframe) 的方式,讓受害者在不知不覺中”自己”修改 Flash 的安全設定,以利駭客可以遠端控制受害者電腦的攝影機與麥克風,進而進行遠端的監聽/監視。目前常見的資料將 Clickjacing 分為 frame-based clickjacking (又稱為 UI readressing) 與 plugin-based clickjacking 兩大類,但是在阿碼外傳上的 範例 使用修改 onclick 事件處理程序的方式,也可算是另外一種實現的手法。
cyrilwang 發表在 痞客邦 留言(0) 人氣()
電影 女神的報酬 的男主角是一位工作能力很強卻人際關係不佳的外交官黑田,他被派駐到義大利後,首件任務就是確保前來參訪的日本外相的人身安全。沒想到黑田竟被意外捲入一樁日本觀光客的綁架案件,女主角的小女兒在沒有任何線索的情況下被犯罪集團所綁架。在與綁匪交手的過程中,黑田雖然發現許多不合理的細節,但是依舊一步步試著解開謎團,最後終於有機會前往負責監視小女孩走失地點的安控中心,想要釐清一些無法理解的疑點。綁匪利用女主角進入管理嚴密的安控中心的機會,要脅女主角趁機癱瘓安控系統並取得存取的權限,之後更將保全設施加以關閉,製造想要襲擊義大利總理的假象。在層層抽絲剝繭之下,黑田發現所謂的綁架事件只是一個瞕眼法,綁匪真正的目標其實是日本外相,兩人的恩怨導因於多年前的一件國際援助事件…
男主角黑田新官上任。
cyrilwang 發表在 痞客邦 留言(0) 人氣()
根據 Wired 網站的新聞報導,有一個犯罪組織多年來利用信用卡小額轉帳的方式,成功獲取超過一千萬美元的不法所得。這個組織透過垃圾信件刊登不實的求才廣告,並利用多個虛設的公司與網站騙取使用者的資料。因為每個使用者的轉帳金額並不高 (從 0.2 到 10 美元),所以此舉不但成功地躲過信用卡處理中心的偵測機制,甚至有高達 90% 的受害者根本沒有注意到信用卡帳單上無緣無故多出了一筆支出。因為使用習慣的不同,這類信用卡的詐欺行為在台灣相對來說比較少見,但是謹慎一點總是好事。下次當你收到信用卡帳單時,請注意帳單上的每筆消費記錄是否有所可疑。事實上,很多我們平常消費的店家我們只知道店家的名稱,但是公司的名稱往往不見得與店家名稱相同,所以在檢查帳單時可能會造成一些困擾。小心駛得萬年船,多注意這些細節不但可以避免金錢上的損失,更可以避免可能的法律紛爭。
cyrilwang 發表在 痞客邦 留言(0) 人氣()
