登陆】|【注册 权限  ■ 风格  ■ 查询       ■ 帮助  联系我们 显示所有在线人员显示当前版面在线人员   
欢迎 光临本站!--本站英文域名:www.tshw.cn,www.lsz7722.com;电话及微信:13808034267,028-82760970;QQ:340227299,27527565,359200668,281311714
   天师画王论坛 >> 电脑硬软件高手 >> 浏览:跨浏览器攻击Clickjac...

  论 坛 公 告 板 >>请浏览更多...
 天师画王老照片翻新参加湖北卫视挑战女人帮的节目![视频]-老照片修复的不止是记忆 (2022-07-28)

   发表话题  回复主题  版主:zljc, Amao   ⊿前一帖    ⊿后一帖  
  普通主题   跨浏览器攻击Clickjacking漏洞解决方案  作者:天师画王  到底部   
作品集合 | 编辑标题 | 覆盖上传 | 发表评论
   PostInfo: 11:22:46 / 2.832 KB 继续修改该图或标题    回复这个主题  
天师画王 .♂.
给天师画王发邮件
老照片修复
论坛坛主
得分:7762240
积点:213686
作品:1054
发帖:9602
级别:终级
来自:成都
注册:2003-10-14

发表于2008-10-14 11:22    察看看天师画王的个人资料  发送悄悄话给天师画王  天师画王的主页  天师画王 的OICQ 是340227299,查看相应资料  发邮件给天师画王    引用回复这个帖子  回复这个帖子   楼主
跨浏览器攻击Clickjacking漏洞解决方案[时间:2008-10-10 4:57 pm | 编辑:tutu ] 我要评论 | 分类:安全播报 |  标签:Clickjacking,攻击漏洞,跨浏览器  一、Clickjacking相关资料

  继GDI+图片漏洞之后,又一影响更为深远的攻击漏洞Clickjacking被揭露。通过此漏洞,黑客可以控制用户的浏览器,在用户毫不知情的情况下点击任意链接、任意按钮或者网上任意的东西。黑客可以轻易利用"clickjacking"控制<strong>摄像头和麦克风</strong>,并可以进一步利用病毒木马,□□用户网银,游戏帐户,QQ帐户等用户虚拟财产或者控制用户摄像头偷窥用户隐私……

  1、影响范围:所有主流的桌面平台,包括IE、Firefox、Safari、Opera以及AdobeFlash。

  2、相关的情景假设:

  (1)当你访问一个恶意网站的时候,攻击者可以控制你的浏览器对一些链接的访问,这个漏洞影响到几乎所有浏览器,除非你使用lynx一类的字符浏览器。这个漏洞与JavaScript无关,即使你关闭浏览器的JavaScript功能也无能为力。事实上这是浏览器工作原理中的一个缺陷,无法通过简单的补丁解决。一个恶意网站能让你在毫不知情的情况下点击任意链接,任意按纽或网站上任意东西。

  (2)比如在Ebay,因为可以嵌入JavaScript,虽然攻击并不需要JavaScript,但可以让攻击更容易进行。只用lynx字符浏览器才能保护你自己,同时不要任何动态的东西。该漏洞用到DHTML,使用防frame代码可以保护你不受跨站点攻击,但攻击者仍可以强迫你点击任何链接。你所做的任何点击都被引导到恶意链接上,所以,那些Flash游戏将首当其冲。

  二、黑客藉此漏洞的攻击原型

  黑客通过flash小游戏来控制用户的摄像头和麦克风

  http://news.duba.net/contents/2008-10/10/4233.html

  三、Adobe对于Clickjacking漏洞首度作出回应

  虽然此漏洞在更早前的时候就已经被发现,并且预计要在OWASPNYCAppSec2008大会上公布,但是由于此漏洞的影响很大,相关厂商请求暂时不要公开此漏洞,直到他们开发出相应的安全补丁。

  10月9日,Adobe首度对于Clickjacking漏洞作出回应,在其安全公告栏上第一次提及此事,表示Clickjacking漏洞影响到AdobeFlash9.0.124.0之前的所有版本。同时他们发布了暂时的解决方案。

  四、金山解决方案

  针对Adobe公司发布的解决方案,金山漏洞修复发出专补工具。

  金山专补工具下载地址:http://down.www.kingsoft.com/db/download/othertools/ClickjackingFix.exe

  备注:由于本次仅发放了Adobe一家公司的解决方案,各浏览器厂家还没有回应此事,可以请用户随时关注金山清理专家发出的安全公告一类的事。

  五、其他相关文档

  Adobe网站的官方公告:http://www.adobe.com/support/security/advisories/apsa08-08.html


天师画王老照片翻新,老照片修复 微信:13808034267
点这里进入天师画王新站
旧照新颜 .⊙.
给旧照新颜发邮件
注册会员
得分:0
积点:32
作品:0
发帖:16
级别:注册
来自:不告诉你
注册:2008-09-23

回复于2008-10-14 19:27    察看看旧照新颜的个人资料  发送悄悄话给旧照新颜  发邮件给旧照新颜    引用回复这个帖子  回复这个帖子   2楼
用Adobe官方提供的暂时的方案,金山除了游戏现在也只有推一些小工具了。毒霸的能力越来越弱。
格言七 .⊙.
给格言七发邮件
注册会员
得分:0
积点:123
作品:0
发帖:53
级别:入门
来自:不告诉你
注册:2008-09-17

回复于2008-10-23 20:06    察看看格言七的个人资料  发送悄悄话给格言七  发邮件给格言七    引用回复这个帖子  回复这个帖子   3楼
我只是路过
琼斯盯梢 .⊙.
给琼斯盯梢发邮件
注册会员
得分:0
积点:126
作品:0
发帖:54
级别:入门
来自:不告诉你
注册:2008-10-08

回复于2008-10-24 20:58    察看看琼斯盯梢的个人资料  发送悄悄话给琼斯盯梢  发邮件给琼斯盯梢    引用回复这个帖子  回复这个帖子   4楼
格言七 .⊙.
给格言七发邮件
注册会员
得分:0
积点:123
作品:0
发帖:53
级别:入门
来自:不告诉你
注册:2008-09-17

回复于2008-10-27 00:30    察看看格言七的个人资料  发送悄悄话给格言七  发邮件给格言七    引用回复这个帖子  回复这个帖子   5楼
不错不错哦。
honglou .⊙.
给honglou发邮件
注册会员
得分:0
积点:22
作品:0
发帖:11
级别:注册
来自:不告诉你
注册:2008-09-23

回复于2009-02-12 18:28    察看看honglou的个人资料  发送悄悄话给honglou  发邮件给honglou    引用回复这个帖子  回复这个帖子   6楼
嗯,去年蛮严重的
更多回复: [1]  回复数:6 //页次:1/1 到顶端  
    
    
天师画王新站

备案序号:蜀ICP备12008442号


版权所有: 天师画王.CN[WWW.TSHW.CN,WWW.LSZ7722.COM] 【94ms】