tag:blogger.com,1999:blog-1023464527096452374Thu, 03 Oct 2024 20:53:52 +0000我的部落格筆記http://mimi-anchor.blogspot.com/noreply@blogger.com (高山行者)Blogger2125en-usnonoreply@blogger.comtag:blogger.com,1999:blog-1023464527096452374.post-1302293963272452685Tue, 30 Sep 2008 07:10:00 +00002008-09-30T00:11:20.689-07:00文/<a href="http://www.ithome.com.tw/">陳曉莉</a> (編譯) 2008-09-29<br />Clickjacking讓駭客能夠誘導使用者點擊網頁上根本不引人注意的部份，但那可能是來自其他網頁的內容。<br />兩名資安研究人員在本周揭露了新的「點閱綁架」（clickjacking）漏洞，該漏洞類似跨站假要求（cross-site request forgery，CSRF），不過目前卻沒有任何防制clickjacking的有效方法，而且包括IE、Firefox、Safari、Opera及Chrome等主要瀏器覽器無一可倖免於難。 發現此一嚴重漏洞的是WhiteHat Security技術長Jeremiah Grossman及SecTheory執行長Robert Hansen，他們原本要在上周舉行的OWASP AppSec 2008會議上討論此一漏洞，不過在相關業者的要求下延後公布漏洞細節。另一方面，美國電腦緊急應變小組（US-CERT）也對此發佈了<a href="http://www.us-cert.gov/current/index.html#multiple_web_browsers_affected_by" target="_blank">警告</a>。 Clickjacking讓駭客能夠誘導使用者點擊網頁上根本不引人注意的部份，但那可能是來自其他網頁的內容。 Grossman在<a href="http://jeremiahgrossman.blogspot.com/2008/09/cancelled-clickjacking-owasp-appsec.html" target="_blank">部落格</a>中表示，JavaScript惡意程式在使用者連到駭客掌控的網頁時，能夠竊取使用者的歷史資料、入侵企業網路、執行網路釣魚，以及植入蠕蟲等。而透過clickjacking攻擊可做的事更多，根據他們所完成的概念性驗證程式以及與各界溝通後，他們相信，所發現的與一般網路瀏覽器行為較為有關，而非傳統的攻擊程式。 Grossman及Hansen已與微軟、Mozilla、蘋果及Adobe討論此一漏洞，Adobe名列其中是因為有一概念性驗證程式是透過Adobe的產品進行攻擊。 Grossman指出，很難要求所有的網站更新以防範該漏洞，最好是由瀏覽器業者負責更新，包括最新版的IE8及Firefox 3皆受到該漏洞波及，而且目前所有瀏覽器皆未提供修補，現階段唯一可抵制該漏洞的方法是關閉瀏覽器的scripting及外掛程式功能。 關於此一漏洞更多的細節可望在Adobe發表更新程式之後揭露。（編譯/陳曉莉）http://mimi-anchor.blogspot.com/2008/09/blog-post_30.htmlnoreply@blogger.com (高山行者)0tag:blogger.com,1999:blog-1023464527096452374.post-8912463900235702330Tue, 30 Sep 2008 01:56:00 +00002008-09-29T19:57:36.371-07:00我的部落格筆記今天，上「網路訓練專班」的第一天，課程開始不到1小時，已經申請好我自己的部落格!http://mimi-anchor.blogspot.com/2008/09/ya.htmlnoreply@blogger.com (高山行者)0