您的瀏覽器不支援JavaScript語法,但是並不影響您獲取本網站的內容 網頁設計,網頁設計公司,網頁程式設計,網站程式設計,台北網頁設計,無障礙網頁設計,3d互動網頁設計, 720度環場,網站建置,主機代管,電子商務,政府機關網頁設計,公家機關網頁設計,網站製作公司,網站架設
網頁設計,網頁設計公司,網頁程式設計,網站程式設計,台北網頁設計,無障礙網頁設計,3d互動網頁設計, 720度環場,網站建置,主機代管,電子商務,政府機關網頁設計,公家機關網頁設計,網站製作公司,網站架設
網頁設計程式設計網站規劃虛擬主機與主機代管關於網繹我們的服務我們的客戶無障礙網頁設計網站優化SEO聯絡我們
網頁設計,網頁設計公司,網頁程式設計,網站程式設計,台北網頁設計,無障礙網頁設計,3d互動網頁設計, 720度環場,網站建置,主機代管,電子商務,政府機關網頁設計,公家機關網頁設計,網站製作公司,網站架設
Logo 排版用圖片
:::回首頁網站地圖ENGLISH日本語簡體中文rss
:::
關於網繹
我們的客戶
網頁設計
程式設計
無障礙網頁
SEO網站優化
資訊與知識庫
聯絡我們
關於網繹裝飾用圖片
無障礙網頁的專家
透過網繹將您的網站輕鬆的通過無障礙網頁檢測標準,達到轉換網頁無障礙,擴充單元無障礙,新增內容無障礙的功能。
:::
資訊與知識庫
標題 新攻擊:綁架Click執行惡意程式
主題分類 網路資訊
原文章出處 iThome 2008-10-28 記者 王宏仁

最近出現了一種新型態的瀏覽器攻擊手法,駭客能夠綁架使用者觸發確認按鈕的滑鼠(click)點擊動作,來暗中觸發惡意程式的執行。資安專家將這種方法稱為Clickjacking(點擊綁架),問題波及所有瀏覽器,包括微軟新版IE 8.0、Firefox 3.0與最新出爐的Google Chrome等,無一倖免。國外已實際利用此技術做出一個示範的網路遊戲。當使用者瀏覽遊戲畫面時,實際上已被暗中打開網路攝影機,偷拍使用者活動。

上個月,WhiteHat Security技術長Jeremiah Grossman首度揭露了這個攻擊手法Clickjacking(點閱綁架)。這個安全漏洞讓駭客能夠控制使用者滑鼠的點閱動作,他在部落格中表示,幾乎所有瀏覽器都無法倖免,包括微軟新版IE 8.0、Firefox 3.0、Apple Safari、Google Chrome等,甚至連Youtube最常使用的Adobe Flash Player也有相同的問題。

這個攻擊手法利用HTML語法所支援的某些特殊內嵌物件(例如Opaque物件)來隱藏使用者進行滑鼠點閱時的行為。使用者點閱網頁畫面時,就可能在不知情的情況下,點選了另外一個隱藏的按鈕,暗中執行了對使用者系統有安全威脅的指令或惡意程式。

Jeremiah Grossman指出:「使用者可能在不知不覺中,就點下了打開麥克風和網路攝影機的確認按鈕,讓自己在電腦前的一舉一動,都被傳送到遠端網頁中偷錄下來。」

上周Adobe已發表了緊急的防護建議,提供企業如何關閉Flash Player上麥克風與攝影功能的方法,並於本周推出Flash Player 10新版來修正。

而Firefox瀏覽器外掛元件NoScript的作者Giorgio Maone,也迅速在NoScript 1.8.2.1新版中,增加一個ClearClick功能,能夠即時警告使用者,是否在無意間透過滑鼠或鍵盤與網頁互動,或者點選了網頁上的按鍵,讓使用者可以藉此防堵Clickjacking的攻擊。

NoScript外掛元件只支援Firefox,其他瀏覽器則還未針對Clickjacking提出修補程式。目前,國外多數資安專家則建議使用者直接關閉Javascript功能,方能徹底確保安全。

大砲開講部落格站長邱春樹建議:「可以用防護iframe攻擊的方法,來防護Clickjacking攻擊。」他解釋,駭客發動這兩種手法的條件是相同的,使用者必須瀏覽有Clickjacking程式的惡意網站,才會發生問題。因此,他認為,企業只要在瀏覽器中禁止iframe與 Javascript的執行,或者限制使用者只能在企業內網使用,就可以有效預防Clickjacking。

共同發現Clickjacking漏洞的SecTheory執行長Robert Hansen將於10月底來臺參加第二屆亞洲資安年會,預定在會議中全球首度公開最新惡意網頁攻擊手法Clickjacking的攻擊細節。

文章整理:
關鍵字: 攻擊,網站,網路安全

go to top
通過第三優先等級無障礙網頁檢測
   
網繹數位科技網頁設計公司 地址:台北市復興南路一段321號3樓 Tel: (02)2704-1758(代表號)  Fax: (02)2704-0372 Email:e-service@eki.com.tw
網頁設計程式設計網站規劃虛擬主機與主機代管關於網繹我們的服務我們的客戶無障礙網頁設計網站優化SEO聯絡我們
(a) 跨國企業 為Sony 新力、Du Pont 台灣杜邦、Syngenta 台灣先正達、Xerox 全錄、TUV 德國萊因、Imation 美商怡敏信、DHL 洋基通運、日商丸紅等跨國企業、國際大型公司網站設計、程式設計、網頁設計、資料庫規劃及系統整合之設計廠商。 (b) 知名企業 為流行風尚精品之公司網站設計、程式設計、網頁設計、諸如居禮名店、長榮桂冠酒店、三井日本料理、天仁集團、菲夢絲、歌林公司、八王子集團、牡丹園餐廳、華固建設、等製作高質感之精緻網站。 (c) 金融機構 為金融單位或公司網站設計、程式設計、網頁設計、如兆豐金控、新光產物保險、中央再保、第一期貨、慶豐銀行、KGI中信期貨、台灣銀行等諸銀行,南山人壽、金融聯合徵信中心等金融公司及單位之網站建置及資料庫設計協力廠商。 (d) 政府機關及民間機構 為政府機構及民間團體網站設計、程式設計、網頁設計、如台北世界貿易中心、台北國際會議中心、中研院、十三行博物館、黃金博物園區、鶯歌陶瓷博物館、臺北縣政府文化局、石門水庫、北區水資源局等政府機關以及法鼓山、中華電信工會、國科會、靈鷲山佛教基金會、財團法人保險事業發展中心等民間團體建置氣勢磅礡、兼具人文、藝術、歷史的網站或電子報。