iT邦幫忙

2023 iThome 鐵人賽

DAY 8
0
Security

從自建漏洞中學習 - 一起填坑吧系列 第 8

CSS 相關的攻擊 (中篇) - clickjacking 的其他形式

  • 分享至 

  • xImage
  •  

CSS 相關的攻擊 (中篇) - clickjacking 的其他形式

Clickjacking 千變萬化的形式們

除了先前提到的 clickjacking 攻擊 - 透過隱藏 or 調整透明度並疊加元素來誘騙使用者的方式外,還有其他很多種形式,以下簡單介紹幾種形式:

1. 插入式覆蓋 (insert overlays):

以下攻擊方式會透過各種插入元素(or 疊加元素)的方式誘使使用者誤觸元素:

  • 點擊事件丟棄 (Click Event Dropping)
    攻擊者將 CSS point-events 屬性設為 none,這表示點擊似乎不會在頁面上執行任何操作。
    但在實際上,點擊是在下面的惡意頁面上進行的。

  • 內容快速變換 (Rapid Content Replacement)
    覆蓋層被覆蓋,移除幾分之一秒以記錄點擊,然後立即替換。在這種情況下,用戶可能不會注意到他們正在單擊可能是惡意的按鈕或鏈接,因為該對象消失得如此之快。

2. 其他方式:

  • 捲動
    攻擊者會建立一個合法的對話框或彈出窗口,其中的按鈕部分位於螢幕之外。這些按鈕會轉到下面的惡意網頁,但該框顯示為無害的提示。

    • 使用此方式攻擊者面臨的挑戰:
      受害者的瀏覽器上可能安裝了廣告攔截器或彈出視窗攔截器,因此攻擊者需要找到一種方法來規避這一點。 (虛假廣告攔截器擴充功能是另一種類型的網路攻擊。)
  • 重新定位
    這是一種快速內容替換攻擊,其中網路攻擊者快速移動受信任的使用者介面 (UI) 元素,而使用者則專注於網頁的另一部分。這個想法是讓受害者無意中點擊移動的元素,而不是專注於閱讀、滾動或點擊頁面上的其他內容。

  • Drag and Drop
    不只是點擊,受害者需要填寫表格或執行其他操作。
    網路表單可能看起來與合法頁面的表單相似,但當使用者填寫欄位時,網路攻擊者會透過下面的惡意頁面擷取資料。
    與任何網路攻擊一樣,其目標是在受害者不知情的情況下獲取個人或敏感資訊。

如何防禦?

除了先前提及的 CSP、X-Frame-Options 等設定外,我們還有其他方式可以防禦:

  • 安裝 Browser 插件
    某些 Web 瀏覽器具有附加元件,一旦出現超文本傳輸協定 (HTTP) 請求,這些附加元件就會停止腳本執行。
    而當腳本停止運作時,網路攻擊者的程式碼就無法執行。若您使用公司的電腦,可以安裝公司推薦的插件確保你的 Browser 有被保護。

今日小心得

今天補班日,回家的時候發現自己已經累到癱掉,所以今天只有簡單研究了一下各種有可能的 clickjacking 攻擊方式,透過了解多一些 clickjacking 的攻擊方式,算是讓我對於 clickjacking 有更深一層認識了XD 明天繼續研究跟 CSS 相關的攻擊 gogo~


Reference


上一篇
CSS 相關的攻擊 (上篇)
下一篇
CSS 相關的攻擊 (下篇之 1)
系列文
從自建漏洞中學習 - 一起填坑吧30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言