论文部分内容阅读
在2008年早些时候被曝光的Adobe Flash Player漏洞当中,恶意者可以通过点击劫持使攻击者在用户完全不知情的情况下打开用户接在电脑上的网络摄像头和麦克风,从而对用户实施窥探行为。
点击劫持并非一个新鲜的网络安全问题,之所以在最近一段时间又再次被人频频提起,是因为Adobe Flash Player软件的一个漏洞。事实上,因为目前越来越多的网站开始全面使用flash作为其内容的承载模式,因此Adobe Flash Player上的这个漏洞引起了相当多用户的重视。
点击劫持从何而来
点击劫持,顾名思义就是将用户点击A链接的行为恶意地转向到B链接。点击劫持主要是利用了网页显示时的虚拟深度,利用代码嵌入到被访问的网页中,从而改变网页响应用户点击的方式。
点击劫持最大的危害是将用户的点击重新定位到特定的恶意网站,使用户在不知不觉中访问恶意网站从而“中招”,少则电脑遭到恶意软件的骚扰,多则各类用户密码被泄露。点击劫持经常被用于伪造银行网站。不明真相的用户在遭到点击劫持后,被重定向到伪造的银行网站,而用户在访问时是得不到任何提示的。用户在伪造的银行网站上登陆进“帐户”,并且进行了一些对“帐户”的操作,这时用户的信息就会在不知不觉中泄露。
点击劫持的另一个危险在于可以使用户在不知不觉中运行安置在网页上的恶意软件、代码甚至ActiveX控件。在2008年早些时候被曝光的Adobe Flash Player漏洞当中,恶意者可以通过点击劫持使攻击者在用户完全不知情的情况下打开用户接在电脑上的网络摄像头和麦克风,从而对用户实施窥探行为。
点击劫持的危害如此之大,更危险的是目前Adobe Flash Player的漏洞可以让点击劫持有机可乘。而目前98%以上接触互联网的电脑都在使用Adobe Flash Player播放器,同时超过80%的在线视频在使用Adobe相关的技术。
防堵结合
在点击劫持可以利用Adobe Flash Player漏洞的消息传出后,Adobe在2008年11月16日迅速发布了新版本的Flash播放器—Adobe Flash Player 10。Adobe Flash Player 10修复了浏览者访问网站中的数个安全漏洞,其中就包括点击劫持漏洞。所幸的是,目前点击劫持漏洞还没有被大范围地用来进行攻击。
不过,即使Adobe补上了Adobe Flash Player的漏洞,点击劫持还是可以通过网络浏览器危害到用户的使用安全。目前包括IE、Firefox等浏览器依然存在安全隐患。
点击劫持也可以通过恶意的内嵌框架(iframe)来实现。所谓内嵌框架,就是在同一个页面里有多个网页,框架网页内容的源头则可能存在恶意代码造成点击劫持。而对于大多数用户来说,内嵌框架的点击劫持是不能简单通过完全屏蔽来解决的,更好的办法是安全隔离这部分内嵌框架,使其成为独立于网页主体内容之外的内容。
根据已经公布的消息显示,目前谷歌Chrome浏览器已经让不同的浏览器标签运行在不同的进程,而微软的下一代浏览器IE8也会使用类似的技术,这样将大大降低点击劫持的安全隐患。而Firefox则可以使用一个名为No Script的插件,该插件能够辨别所有运行在页面上的脚本,可以用来有效阻挡潜在的点击劫持的尝试,不过这款插件的使用比较繁杂,不太适合普通用户使用。
点击劫持并非一个新鲜的网络安全问题,之所以在最近一段时间又再次被人频频提起,是因为Adobe Flash Player软件的一个漏洞。事实上,因为目前越来越多的网站开始全面使用flash作为其内容的承载模式,因此Adobe Flash Player上的这个漏洞引起了相当多用户的重视。
点击劫持从何而来
点击劫持,顾名思义就是将用户点击A链接的行为恶意地转向到B链接。点击劫持主要是利用了网页显示时的虚拟深度,利用代码嵌入到被访问的网页中,从而改变网页响应用户点击的方式。
点击劫持最大的危害是将用户的点击重新定位到特定的恶意网站,使用户在不知不觉中访问恶意网站从而“中招”,少则电脑遭到恶意软件的骚扰,多则各类用户密码被泄露。点击劫持经常被用于伪造银行网站。不明真相的用户在遭到点击劫持后,被重定向到伪造的银行网站,而用户在访问时是得不到任何提示的。用户在伪造的银行网站上登陆进“帐户”,并且进行了一些对“帐户”的操作,这时用户的信息就会在不知不觉中泄露。
点击劫持的另一个危险在于可以使用户在不知不觉中运行安置在网页上的恶意软件、代码甚至ActiveX控件。在2008年早些时候被曝光的Adobe Flash Player漏洞当中,恶意者可以通过点击劫持使攻击者在用户完全不知情的情况下打开用户接在电脑上的网络摄像头和麦克风,从而对用户实施窥探行为。
点击劫持的危害如此之大,更危险的是目前Adobe Flash Player的漏洞可以让点击劫持有机可乘。而目前98%以上接触互联网的电脑都在使用Adobe Flash Player播放器,同时超过80%的在线视频在使用Adobe相关的技术。
防堵结合
在点击劫持可以利用Adobe Flash Player漏洞的消息传出后,Adobe在2008年11月16日迅速发布了新版本的Flash播放器—Adobe Flash Player 10。Adobe Flash Player 10修复了浏览者访问网站中的数个安全漏洞,其中就包括点击劫持漏洞。所幸的是,目前点击劫持漏洞还没有被大范围地用来进行攻击。
不过,即使Adobe补上了Adobe Flash Player的漏洞,点击劫持还是可以通过网络浏览器危害到用户的使用安全。目前包括IE、Firefox等浏览器依然存在安全隐患。
点击劫持也可以通过恶意的内嵌框架(iframe)来实现。所谓内嵌框架,就是在同一个页面里有多个网页,框架网页内容的源头则可能存在恶意代码造成点击劫持。而对于大多数用户来说,内嵌框架的点击劫持是不能简单通过完全屏蔽来解决的,更好的办法是安全隔离这部分内嵌框架,使其成为独立于网页主体内容之外的内容。
根据已经公布的消息显示,目前谷歌Chrome浏览器已经让不同的浏览器标签运行在不同的进程,而微软的下一代浏览器IE8也会使用类似的技术,这样将大大降低点击劫持的安全隐患。而Firefox则可以使用一个名为No Script的插件,该插件能够辨别所有运行在页面上的脚本,可以用来有效阻挡潜在的点击劫持的尝试,不过这款插件的使用比较繁杂,不太适合普通用户使用。