您的位置:主页 > 戏曲 > 越剧 >

ClickjackingBrowserAttackDetailsemerge

2019-11-05     来源:白乐彩         内容标签:ClickjackingBrowserAttackDetai

导读:着名的安全研究人员Robert“RSnake”Hansen和JeremiahGrossman可能已经在OWASPNYCAppSec会议上取消了他们关于“clickjacking”的计划演示-一种新发现的浏览器漏洞利用形式九月22至25,但两位专家已经

着名的安全研究人员Robert“RSnake”Hansen和JeremiahGrossman可能已经在OWASPNYCAppSec会议上取消了他们关于“clickjacking”的计划演示-一种新发现的浏览器漏洞利用形式九月22至25,但两位专家已经开始分享有关攻击技术的一些细节。

Hansen和Grossman经常出席包括BlackHat在内的道德黑客会议,他们应Adobe的要求提交了他们的演讲,微软和其他供应商会立即受到技术细节或概念验证代码发布的影响。

然而,他们都撰写了关于点击劫持的博客,让我们了解这个过程需要什么。

“点击劫持的前提是,一旦用户接触到攻击者控制的网页(或带有代码的网页),例如历史记录,我们就能了解JavaScript恶意软件的功能偷窃,内部网黑客攻击,使用超级诱饵进行网络钓鱼,网络蠕虫,浏览器利用等等,但对于捕获的点击可以做些什么相对较少,“WhiteHatSecurity首席技术官Grossman写道。

“点击劫持使攻击者能够欺骗用户点击只是勉强或暂时不明显的事情,“格罗斯曼说。“使用点击劫持攻击者可以做很多事情。有些事情可能非常诡异。事情也很容易进行,具有相当的独创性。”

基本上,如果黑客使用点击劫持攻击欺骗了你通过访问其中一个URL,他们可以控制您的浏览器并开始秘密强制客户端点击他们想要的任何链接。确实可怕的东西!

Grossman和Hansen开发了可用的PoC代码,但决定不发布它,因为它可能导致相关的攻击,因为每个主要的浏览器(InternetExplorer,Safari,Firefox等)显然容易受到这些类型的攻击,并且他们不希望危及用户。

其中一个PoC涉及Adobe产品,该公司要求有更多时间来解决其产品中的漏洞,以避免专家们报告说,这是一个零日的情景。

Grossman认为,点击劫持是一个众所周知的问题,但在浏览器和应用程序供应商中严重低估并且基本上不设防。

“我们发现影响网站(而不是浏览器)的相关问题在一次性基础上更容易处理,但这也是一个问题,“SecTheory首席执行官汉森说。”对网站来说肯定会有很多更容易的攻击,但我们一直在努力打破一些previo通过良好的安全措施。“

Hansen和Grossman都坚持认为,而不是试图修复每个可能容易遭受点击劫持的网站,而且显然大部分都是这样,这个问题更有意义。浏览器制造商解决了这个问题。

“世界上每个网站管理员修补他们自己的网站的想法是不可能的,”汉森说。“虽然我相信很多人都会跑出去修补他们的网站而不是等待所有浏览器的普通浏览器补丁和发布周期。我们“已经讨论了微软和Mozilla的高层关注,他们独立地认为这是一个棘手的问题,目前还没有简单的解决方案。”

文章链接地址:http://www.statwd.com/xiqu/yueju/201911/1642.html

上一篇:除非盈利增长,否则利盟仍然保持谨慎
下一篇:没有了

越剧相关文章

越剧推荐

越剧最新更新