啥是點閱綁架(Clickjacking)呢?
用講的太慢啦...直接來親身體驗最快。
這有個實作的體驗網站,可以點選這裡。畫面如下:
實戰點閱綁架,這網頁並無惡意攻擊,只是導向到另外一個 Blog 網頁,請放心。主要在於讓大家了解何謂「點閱綁架(Clickjacking)」,將滑鼠移到超連結處,檢查左下角落的連結網址,發現哪有不一樣嗎?明明是應該要連結到 google 網站的不是嗎?你連到哪了呢?目前已知可以成功的瀏覽器:
1.Firefox 3.0.5
2.Chrome 1.0.154.43
3.Safari 3.2.1 (for windows)
4.IE 7.0.6001
手法剖析:
1.如果瀏覽器有問題(上述瀏覽器),該連結將不會連結至 google 網站,而是其他網站。
2.如果正常連結至 google 網站,表示不受影響。
3.有心人士可以利用此手法將惡意連結夾帶其中,偽裝成銀行或一般正常連結(URL)。
之前還有一篇文「模擬實戰釣魚網站」,都是希望大家能有些防禦觀念,了解攻擊、詐騙手法,自然就會多一分小心的。
本文同步張貼於「阿碼外傳」。
2 則留言:
如將 div 內 style
由
width:2px;height:2px;
改為
width:4px;height:4px;
以及 script 內的 updatebox(evt) function
由
document.getElementById('mydiv').style.left=mouseX-1;
document.getElementById('mydiv').style.top=mouseY-1;
改為
document.getElementById('mydiv').style.left=mouseX-2;
document.getElementById('mydiv').style.top=mouseY-2;
的話, 問題也會在 IE7 出現
已經調整了!!甘溫ㄚ!!
張貼留言