点击劫持漏洞Clickjacking(三)
一、点击劫持漏洞概述
点击劫持也被称为UI-覆盖攻击,是一种视觉上的欺骗手段。攻击者使用一个或多个透明的 iframe 覆盖在一个正常的网页上,然后诱使用户在该网页上进行操作,当用户在不知情的情况下点击透明的 iframe 页面时,用户的操作已经被劫持到攻击者事先设计好的恶意按钮或链接上。攻击者既可以通过点击劫持设计一个独立的恶意网站,执行钓鱼攻击等。
二、点击劫持的分类
Flash点击劫持(Flash ClickJacking):劫持用户的鼠标点击操作。
拖放劫持(Drag & Drop Jacking):劫持用户鼠标拖放操作。
触屏劫持(TapJacking):触屏劫持是智能终端设备的一种劫持方式,劫持用户的触控操作。
三、点击劫持攻击步骤
- 攻击者设计一个网页,使用frame嵌套一个正常的网页(用户想要操作的网页);
- 攻击者在frame上层覆盖一个透明的层(用户肉眼看不到);
- 用户点击正常网页的按钮,其实是点击了透明的层的按钮或链接(触发了攻击者为编写的恶意代码)。
四、点击劫持的危害
通常情况下点击劫持的底层页面和上层页面是指向不同的web应用程序,指向不同的域名地址,底层页面为肉眼可见但不可操作的页面、上层页面为透明不可见但可操作的页面。底层既可能是其它正常的页面也有可能是攻击者自己设计的页面,但都是用于欺骗用户的,上层才是透明的带有攻击者恶意按钮和链接的页面。
点击劫持主要是视觉欺骗,拦截用户的点击事件,随着html5API的扩展,劫持已经扩展到触控、拖放操作上。在同源策略里,一个域的Cookie只能被本域所访问,但是拖放操作是不受同源策略限制的,因此劫持拖放操作可以获取到Cookie信息。
点击劫持可以诱使你发布一条虚假微博、或者发送一封虚假邮件甚至盗取你的个人信息。
五、点击劫持的防御
点击劫持漏洞防御措施可以从两个方面考虑:服务器端防御和客户端防御。服务器端防御主要涉及到用户身份验证,客户端防御主要涉及到浏览器的安全。
服务端的防御主要使用 X-FRAME-OPTIONS 机制(配置在Nginx等服务器中)。该机制有三个选项:ALLOW-FROM、DENY 和 SAMEORIGIN。ALLOW-FROM 表示允许Freame嵌套的地址,DENY表示任何网页都不能使用 iframe 载入该网页,SAMEORIGIN表示符合同源策略的网页可以使用 iframe载入该网页。如果浏览器使用了这个安全机制,在网站发现可疑行为时,会提示用户正在浏览网页存在安全隐患,并建议用户在新窗口中打开。这样攻击者就无法通过 iframe 隐藏目标的网页。
点击劫持攻击需要首先将目标网站载入到恶意网站中,使用 iframe 载入网页是最有效的方法。Web安全研究人员针对 iframe 特性提出 Frame Busting 代码,使用 JavaScript 脚本阻止恶意网站载入网页。如果检测到网页被非法网页载入,就执行自动跳转功能。Frame Busting代码是一种有效防御网站被攻击者恶意载入的方法,网站开发人员使用Frame Busting代码阻止页面被非法载入。需要指出的情况是,如果用户浏览器禁用JavaScript脚本,那么FrameBusting代码也无法正常运行。所以,该类代码只能提供部分保障功能。
点击劫持漏洞通过伪造网站界面进行攻击,网站开发人员可以通过认证码识别用户,确定是用户发出的点击命令才执行相应操作。识别用户的方法中最有效的方法是认证码认证。例如,在网站上广泛存在的发帖认证码,要求用户输入图形中的字符,输入某些图形的特征等。
最新版本的浏览器提供很多防御点击劫持漏洞的安全机制,对于普通的互联网用户,经常更新修复浏览器的安全漏洞,能够最有效的防止恶意攻击。
综上所述,防御的手段如下:
- X-FRAME-OPTIONS机制:DENY(禁止任何Frame嵌套)、SAMEORIGIN(符合同源策略的网页可以使用 iframe嵌套)、ALLOW-FROM(定义允许frame嵌套的地址);
- Frame Busting 代码:通过可以写一段JavaScript代码,以禁止iframe的嵌套;
- 使用认证码确认是否是用户点击:手动输入图形产生的认证码后才能提交;
- 更新浏览器及其插件。
- 使用CSP网页安全策略。
