clickjacking
October 23rd, 2008 от 
singu
е името на нов начин ( обявен на OWASP конференцията в Ню Йорк ) да заблудим потребителя на един сайт да направи нещо глупаво. Напоследък се развъдиха сайтове, претъпкани с Flash базирани губивремки и някой се е сетил,че може да използва всички тези кликове за нещо зловредно. Гледайте следното филмче:
По същество атаката представлява подвеждането на потребителя да щракне по части от екрана, които са заредени предварително с контроли за управление, за които потребителя не подозира ( например iframe с линк за сменяне на паролата и т.н. ). Преди десетина дни нашият сънародник pdp е изследвал проблема по-задълбочено и има интересен анализ по темата.
Податливи на атаката са всички браузери, които използват Adobe Flash ( т.е. на практика 100% от браузърите ), като единственото спасение засега е да използвате заобиколката, която самите Adobe прелагат. Ако ползвате Firefox и NoScript, то обновете до версия 1.8.2.1 на добавката, която позволява прехващане на кликове по скрити части на екрана. От Adobe обещават следващата версия на плейъра им да е имунизирана срещу тази атака.
Подобни статии:
Публикувано в Сигурност | 
November 20th, 2008 at 12:05 pm
[...] организират webcast (( ъъъ… онлайн конференция ) на тема clickjacking, та ако темата ви е интересна ето линка да се [...]