解开Twitter的Don't Click攻击的神秘面纱

原创
安全
Twitter暴露了一个重大安全漏洞。Twitter上到处都是“不要点击(Don't click)”的留言,后边跟着一个网址链接。实际上,这种攻击已经出现一些时间了,只不过2月12日才大规模爆发。当用户登录Twitter后,如果点击了“不要点击”,你的消息里就会出现一条“不要点击”,然后不断蔓延。
【51CTO.com 独家特稿】2009年2月12日,Twitter暴露了一个重大安全漏洞。Twitter上到处都是“不要点击(Don't click)”的留言,后边跟着一个网址链接。实际上,这种攻击已经出现一些时间了,只不过2月12日才大规模爆发。当用户登录Twitter后,如果点击了“不要点击”,你的消息里就会出现一条“不要点击”,然后不断蔓延。

一、跨站请求伪造还是点击劫持

遭到Don't Click攻击(准确来说,它应该算是一个恶作剧,因为它没有对用户造成实质性的危害。)黑手的用户将向Twitter张贴下列消息:

    Don't Click: http://tinyurl.com/amgzs6

下面是当时的用户截图:

图1

这看起来好像是一个CSRF攻击,但是当您查看发动攻击的页面的源文件后,就会发现根本不是这么回事。这个病毒性的Twitter恶作剧用来骗您在Twitter张贴回复的技术并不是跨站请求伪造,而是另一种高超的技巧:点击劫持技术。所有这一切根本就不使用JavaScript代码(当然跨站请求伪造也可以不用脚本),只用了寥寥几行CSS代码就搞定了。

二、深入解析Don't Click攻击

在攻击页面中,含有一个IFrame,用以加载Twitter,并且带有事先填好的消息:

实际上,Twitter本身在您单击“reply”按钮的时候,它就在回复的开头处预填了内容。所以说,该攻击使用的策略,与Twitter是一脉相承的。在Iframe之后是一个按钮:

这可是一个巧妙的骗局,它利用了点击劫持技术:当您单击这个按钮的时候,实际上是在Twitter上提交一个表单。但是,它是如何完成的?这可要归功于CSS了。仔细看一下这里的CSS:

 


注意IFrame和按钮的位置,Twitter的(位于IFrame中的)更新按钮恰好放在了该页面的正常按钮的上面;并且这里通过CSS使这个IFRAME变得完全透明,所以您根本就看不到它。所以,用户将看到如下的景象:

图2

俗话说,耳听为虚,眼见为实——真是这样吗?很遗憾,有时候眼睛也会欺骗我们,因为它看不到透明的东西。为了弄清真相,我们调节内嵌框架的透明度,这下您就会明白是怎么回事了,如图:

图3

好了,现在真相大白了:当您觉得正在点击(IFrame下面的)普通按钮的时候,实际上却在单击(普通按钮上面那个透明的)Twitter的“Update”按钮。假如用户已经登录到Twitter,那么用户就会立即向Twitter张贴表单输入框中的内容。拜Twitter的?Status= URL功能所赐,攻击者可以轻松贴上下列消息,因为该功能允许Twitter预装一则消息:

    Don’t Click: http://tinyurl.com/amgzs6

在TinyURL的帮助下,可以对攻击页面的URL做些必要的处理,以便诱骗您的跟踪者来进一步传播此“攻击”,事实证明这是十分有效的。

三、示例演示

为了更好地进行说明,我们用一个示例攻击页面进行演示。注意,为了让读者看到事实真相,我们的例子中没有将opacity设为0,因此如果在加载页面时您仔细观察的话,将会看到“Don't Click”按钮在后台先于Twitter之前加载的,之后还会看到Twitter的更新按钮又被“绘制”到了“Don't Click”按钮之上。也就是说,最后Twitter的更新按钮把“Don't Click”按钮完全盖住了。代码如下:






现在,当读者使用上面的代码做实验时,已经看不到Twitter的“update”按钮了,因为Twitter已经修复了这个严重的安全漏洞。但是我们可以看到有一个不透明的方块盖住了先出现的“Don't Click”按钮。好了,现在介绍一下该漏洞是如何被修复的。

四、漏洞的修复

Twitter.com已经修补了该漏洞,做法是在它被加载到一个IFRAME的时候,利用一些JavaScript进行相应的检查:

    if (window.top !== window.self) {
window.top.location.href = window.self.location.href; }

所以,现在当我们试图将Twitter加载到一个IFRAME中的时候,会发现浏览器被自动重定向到Twitter,这样的话,攻击页面就不能得逞了。

五、小结

本文对上周Twitter暴露了一个重大安全漏洞,即Don't Click攻击进行了全面深入的介绍。我们首先介绍了Don't Click攻击的实质,即点击劫持,并介绍了该技术的具体实现代码。为了让读者有一个感性的认识,我们还提供了一个示例攻击页面,最后介绍了漏洞的修补技术。

【51CTO.COM 独家特稿,转载请注明出处及作者!】

【编辑推荐】

  1. 恶意网站凶猛来袭 2008黑榜上半年分析
  2. 瑞星首推“恶意网站监测网” 每天500万网民访问挂马网站
  3. 全球恶意网站数量一年翻三番 21%来自美国
责任编辑:王文文 来源: 51CTO.com
相关推荐

2014-03-25 10:20:37

Java 8新特性

2014-07-15 13:54:09

Java8

2011-11-18 09:26:18

Javafinally

2021-06-07 08:18:12

云计算云端阿里云

2010-05-17 09:13:35

2014-03-12 11:11:39

Storage vMo虚拟机

2011-06-22 09:43:01

C++

2009-09-15 15:34:33

Google Fast

2023-04-10 11:00:00

注解Demo源码

2023-11-02 09:55:40

2016-04-06 09:27:10

runtime解密学习

2015-08-20 13:43:17

NFV网络功能虚拟化

2018-03-01 09:33:05

软件定义存储

2009-06-01 09:04:44

Google WaveWeb

2011-08-02 08:59:53

2017-10-16 05:56:00

2021-08-11 09:01:48

智能指针Box

2021-07-28 21:49:01

JVM对象内存

2020-04-14 10:44:01

区块链渗透测试比特币

2010-06-17 10:53:25

桌面虚拟化
点赞
收藏

51CTO技术栈公众号