摘要
本月新的浏览器攻击手法“点击劫持Clickjacking”被两位安全专家Robert Hansen与Jeremiah Grossman公布,但公布的并非是全部细节内容。其基本原理是在页面A的iframe中通过src链接到另一个域的页面B,设置iframe的CSS样式透明度为0(具有隐蔽性),Z-index设置为大于A页面中的其它元素,然后在A页面中随意设置一些具有欺骗性的点击元素(例如:提交按钮、确认按钮、Clickme链接等),其Z-index值均低于iframe,并与B页面中的关键元素(如:删除按钮、上传按钮、单选框、选择链接、木马下载链接等)处于同一个位置。于是当点击A时,B会响应事件,如果再利用一些社会工程学方面的技巧,
出处
《程序员》
2008年第11期22-22,共1页
Programmer
