close
今天鋒哥傳給我一篇鬼仔's blog上面轉貼的文章,裡面提到了本來在今年的OWASP上面RSnake 和 Jeremiah Grossman要發表Clickjacking的漏洞相關細節,但是由於Adobe的請求所以他們就不發表這個漏洞實作的詳細細節,大概是因為這漏洞一出來目前市面上除了lynx這種Command line base的瀏覽器之外,大概都會被打暴吧。
根據現有的微薄資料稍微研究了一下Clickhijacking的原理,大概就是基於hidden iframe的CSRF(今年下半年是CSRF年嗎?怎麼大家都在打這個東西XD),稍稍看了一下別人模擬的code,突然覺得我之前監聽鍵盤動作的方式好像也可以拿來這樣玩(靠事件監聽來控制iframe)
,但是聽說這攻擊不一定要靠Javascript,所以這方式可能離真的Clickjacking還有一段距離,有空再來研究看看不靠javascript要怎麼完成囉。
其他參考資料:
Firefox+No Script V.S. Clickhijacking
Clickjacking : researchers raise alert for scary new cross-browser exploit
全站熱搜
留言列表
IT技術 (4)