觀點

你不可不知的駭客新玩具─「點閱綁架」

2008 / 11 / 17
Trueman
你不可不知的駭客新玩具─「點閱綁架」

駭客又現新手法─點閱綁架,網路攝影機、部落格等一般網頁,通通無一倖免,美好的資安前景又多了一道阻礙。

近年來網頁安全問題被炒的火熱,除了傳統已知的常見網頁程式弱點,如SQL Injection、Cross Site Scripting等外,也出現了越來越多難以檢測,甚至難以防禦的網頁程式弱點,如本刊6月號「網頁漏洞攻擊實例解析」中提過的跨站冒名請求(CSRF, Cross site request forgery);而在9月底,2位國際知名的資安研究人員WhiteHat Security技術長Jeremiah Grossman及SecTheory執行長Robert Hansen也揭露了一項新的網頁攻擊手法「點閱綁架」(clickjacking),為詭譎多變的資安環境更增添了些許不安的因子。
何謂clickjacking,簡單來說,就是攻擊者試圖綁架使用者的滑鼠點擊,讓使用者在不知情的情況下點擊了攻擊者精心設計過的連結或功能!這種攻擊可視為一種進階的網路釣魚手法;由於過去幾年來,網站瀏覽的安全問題逐漸受到重視,各瀏覽器與安全防護廠商也紛紛加上許多防制網路釣魚與網頁掛馬的防禦機制,讓攻擊者越來越難以得逞,但透過clickjacking手法的揭露,攻擊者彷彿又看到了一線新的曙光,而防守者恐怕又得再度過一段資安黑暗期了!
至於clickjacking的實作手法其實則多不勝數,只要能夠達到攻擊者目的的,都可以被利用來作為點閱綁架攻擊,以下我們以近日釋出的幾個Demo網站來作說明:

示範1:利用Myspace發動點閱綁架攻擊
http://www.planb-security.net/notclickjacking/iframetrick.html
看起來簡單陽春的頁面,在中間只擺放了一個供點擊的按鈕!但網頁內容其實暗藏玄機,底下被嵌入了一段iframe並把視覺效果設為透明當使用者點擊原始畫面上的按鈕時,便會在不知情的情況下將MySpace的個人設定檔設定為任意使用者可以瀏覽並儲存設定!

示範2:小遊戲暗地控制網路攝影機
http://guya.net/security/clickjacking/game.html
另一個網站guya.net則是搭配flash作成的小遊戲,並透過誘使使用者不斷追逐點擊CLICK按鈕,當然在背景中還是暗藏了一段iframe嵌入頁面!當使用者在追逐滑鼠指標時,同時也不自覺地點擊或觸發了攻擊者所設定的惡意程式碼!
該網站展示的概念型攻擊手法同時應用了Adobe Flash Player的漏洞,並證實了可以透過該攻擊手法存取使用者的網路攝影機與麥克風,這也意謂著駭客將可能藉由此種攻擊手法追蹤受害者的行動甚至是通訊內容!
除了上述網站的Demo外,其實還有許多新奇的玩法,例如攻擊者可以嵌入一段iframe區塊跟著滑鼠指標跑,如此一來,不管使用者滑鼠移動到哪個連結或按鈕點擊,其實點擊到的都是跟著滑鼠指標移動的那一段iframe區塊,使用者就像逃不出如來佛手掌心的大聖爺一樣,怎麼也逃不出攻擊者的掌控!在實作上,clickjacking除了可以透過修改css或javascript來達成外,也可以搭配XSS與CSRF進行利用,甚至是利用flash與其他嵌入元件來達成!當然可預期的是,未來還將會有更多更有創意的clickjacking攻擊手法,持續被發掘出來!

部落格網站成為資安隱憂
而在實務上,除了惡意攻擊者可以架設惡意網站對使用者進行攻擊外,目前比較大的隱憂可能會出現在部落格網站與社交網站中,因為這類型網站為了豐富頁面,常允許使用者加入大量的自訂視覺效果,可以自訂CSS或利用javascript設計許多特效與炫麗的功能!(註:請見資安烽火臺─知名小站漏不停)如果遭到有心人設計利用,將可能帶來十分嚴重的後果!加上目前國內部分部落格網站安全管理機制仍不夠嚴謹,危機處理能力也明顯缺乏,遇到狀況時常常只能採取見招拆招的處理方式,常常無法進一步追蹤系統的問題點與潛在弱點!在面臨clickjacking攻擊手法陸續被揭露的情況時,這類部落格網站恐怕將成為一個嚴重的資安隱憂!
至於防制部分,由於這類型攻擊與網路瀏覽行為較為相關,加上目前市面上較常見的瀏覽器都沒有相關修補程式,所以現階段並沒有一個較為有效的防制方式;許多實作的攻擊方式仍然處於無解的狀態中,雖然部分國外資安網站認為可以暫時透過關閉瀏覽器的scripting及外掛程式功能來進行防禦,但因為clickjacking攻擊手法多變,並不一定要透過script指令攻擊,所以防禦效果仍然有限。以這幾天更新頻繁的Firefox附加元件Noscript來說好了,雖然嘗試針對clickjacking攻擊做出防禦與阻擋,但效果明顯不彰,除了造成大量誤判外,針對部份公開的clickjacking攻擊手法也無法做出有效的阻擋。
而站在網路管理者的立場,能做的防禦工作也極為有限,在顧及使用者習慣不改變的立場下,大概也只能消極地依靠閘道端防禦設備進行過濾了!透過閘道端設備過濾可疑的XSS攻擊與惡意程式,並透過信譽評等的機制,篩選並阻擋可疑的釣魚頁面,並靜待未來瀏覽器的改版與修正,這應該是網路管理者目前所能採取的自保手段了!
目前在網路上搜尋clickjacking的技術資料仍然不是太多,所以能夠得到的資訊有限,也許可以期待10月底OWASP亞洲年會SecTheory執行長Robert "RSnake" Hansen的演講能為我們帶來更精采豐富的相關資訊了!(註:請見活動伸展台)

參考資料:
1. http://ha.ckers.org/blog/20081007/clickjacking-details
2. http://www.planb-security.net
3. http://blog.guya.net/