一、跨站请求伪造还是点击劫持
遭到Don't Click攻击(准确来说,它应该算是一个恶作剧,因为它没有对用户造成实质性的危害。)黑手的用户将向Twitter张贴下列消息:
Don't Click: http://tinyurl.com/amgzs6
下面是当时的用户截图:
 |
| 图1 |
这看起来好像是一个CSRF攻击,但是当您查看发动攻击的页面的源文件后,就会发现根本不是这么回事。这个病毒性的Twitter恶作剧用来骗您在Twitter张贴回复的技术并不是跨站请求伪造,而是另一种高超的技巧:点击劫持技术。所有这一切根本就不使用JavaScript代码(当然跨站请求伪造也可以不用脚本),只用了寥寥几行CSS代码就搞定了。
二、深入解析Don't Click攻击
在攻击页面中,含有一个IFrame,用以加载Twitter,并且带有事先填好的消息:
实际上,Twitter本身在您单击“reply”按钮的时候,它就在回复的开头处预填了内容。所以说,该攻击使用的策略,与Twitter是一脉相承的。在Iframe之后是一个按钮:
这可是一个巧妙的骗局,它利用了点击劫持技术:当您单击这个按钮的时候,实际上是在Twitter上提交一个表单。但是,它是如何完成的?这可要归功于CSS了。仔细看一下这里的CSS:
注意IFrame和按钮的位置,Twitter的(位于IFrame中的)更新按钮恰好放在了该页面的正常按钮的上面;并且这里通过CSS使这个IFRAME变得完全透明,所以您根本就看不到它。所以,用户将看到如下的景象:
 |
| 图2 |
俗话说,耳听为虚,眼见为实——真是这样吗?很遗憾,有时候眼睛也会欺骗我们,因为它看不到透明的东西。为了弄清真相,我们调节内嵌框架的透明度,这下您就会明白是怎么回事了,如图:
 |
| 图3 |
好了,现在真相大白了:当您觉得正在点击(IFrame下面的)普通按钮的时候,实际上却在单击(普通按钮上面那个透明的)Twitter的“Update”按钮。假如用户已经登录到Twitter,那么用户就会立即向Twitter张贴表单输入框中的内容。拜Twitter的?Status= URL功能所赐,攻击者可以轻松贴上下列消息,因为该功能允许Twitter预装一则消息:
Don’t Click: http://tinyurl.com/amgzs6
在TinyURL的帮助下,可以对攻击页面的URL做些必要的处理,以便诱骗您的跟踪者来进一步传播此“攻击”,事实证明这是十分有效的。
三、示例演示
为了更好地进行说明,我们用一个示例攻击页面进行演示。注意,为了让读者看到事实真相,我们的例子中没有将opacity设为0,因此如果在加载页面时您仔细观察的话,将会看到“Don't Click”按钮在后台先于Twitter之前加载的,之后还会看到Twitter的更新按钮又被“绘制”到了“Don't Click”按钮之上。也就是说,最后Twitter的更新按钮把“Don't Click”按钮完全盖住了。代码如下:
现在,当读者使用上面的代码做实验时,已经看不到Twitter的“update”按钮了,因为Twitter已经修复了这个严重的安全漏洞。但是我们可以看到有一个不透明的方块盖住了先出现的“Don't Click”按钮。好了,现在介绍一下该漏洞是如何被修复的。
四、漏洞的修复
Twitter.com已经修补了该漏洞,做法是在它被加载到一个IFRAME的时候,利用一些JavaScript进行相应的检查:
if (window.top !== window.self) {
window.top.location.href = window.self.location.href; }
所以,现在当我们试图将Twitter加载到一个IFRAME中的时候,会发现浏览器被自动重定向到Twitter,这样的话,攻击页面就不能得逞了。
五、小结
本文对上周Twitter暴露了一个重大安全漏洞,即Don't Click攻击进行了全面深入的介绍。我们首先介绍了Don't Click攻击的实质,即点击劫持,并介绍了该技术的具体实现代码。为了让读者有一个感性的认识,我们还提供了一个示例攻击页面,最后介绍了漏洞的修补技术。
【51CTO.COM 独家特稿,转载请注明出处及作者!】
【编辑推荐】
