Через два года после первых публикаций о серьезной опасности клик-джекинга браузеры и веб-сайты по-прежнему остаются уязвимыми для атак подобного рода

16:02 19.04.2010   |   1074 |  Джереми Кирк |  Служба новостей IDG, Лондон

Рубрика Индустрия



Исследователи вопросов компьютерной безопасности представили новый инструментарий на основе браузера, который может пригодиться при изучении следующего поколения атак, нацеленных на "угон кликов" (так называемый клик-джекинг, clickjacking).

Клик-джекингом называются атаки, провоцирующие пользователя щелкнуть мышью в определенной части веб-страницы и активизировать скрытую кнопку, запускающую вредоносный сценарий. Скрытые кнопки представляют собой невидимый элемент iFrame, позволяющий загружать на целевой сайт внешнюю информацию.

О клик-джекинге стало известно в 2008 году, когда исследователи Роберт Хансен и Еремия Гроссман обнаружили разновидность атак через Adobe Flash, с помощью которых злоумышленник получал доступ к веб-камере и микрофону жертвы.

"С этого момента владельцы сайтов и разработчики браузеров начали предпринимать меры, чтобы обезопасить своих пользователей от таких атак, однако очень многие сайты по-прежнему остаются незащищенными", -- сообщил Пол Стоун, консультант по вопросам безопасности компании Context Information Security. На недавней конференции Black Hat Стоун перечислил четыре новых типа клик-джекинга, позволяющие эффективно преодолевать защиту большинства сайтов и браузеров.

В ходе демонстрации Стоун использовал функции API, с помощью которых во всех браузерах реализована технология буксировки. Задействуя методы социальной инженерии, пользователей провоцируют перетащить на веб-страницу какой-то элемент и вставить текст в поля формы.

"Нужного для себя результата злоумышленники могут добиться самыми разными способами, -- заметил Стоун. -- Например, отправить поддельное письмо с электронного адреса пользователя. Или предложить ему заполнить какие-то веб-формы".

Стоун продемонстрировал также клик-джекинг с извлечением контента. Такую атаку можно использовать для похищения идентификационной информации и подделки межсайтовых запросов (Cross-Site Request Forgery, CSFR). В последнем случае веб-приложение принимает запрос с вредоносного сайта.

Для выявления новых разновидностей клик-джекинга Стоун предложил разработчикам использовать специальный инструмент. Загрузить его можно с сайта Context Information Security.

Инструмент представляет собой приложение на основе браузера. Оно поддерживает режим "видимого" воспроизведения, позволяющий увидеть, как работает атака, и "скрытый" режим, в котором атака представлена с точки зрения жертвы. В настоящее время бета-версия инструмента поддерживает браузер Firefox 3.6, однако разработчики планируют обеспечить совместимость и с другими браузерами.

Недавно Стоун выявил две уязвимости браузеров к клик-джекингу: одну -- в Internet Explorer и одну -- в Firefox. Обе эти бреши уже закрыты с помощью обновлений. Кроме того, поставщики браузеров внедряют в свои продукты и другие средства защиты от клик-джекинга.

Браузеры Internet Explorer 8, Safari версии 4 и старше, а также Chrome версии 2 и старше успешно распознают заголовки HTTP X-Frame-Options. Если на веб-странице присутствуют такие тэги, браузеры блокируют обработку фрейма, инициирующего атаку клик-джекинга. Разработчики Mozilla планируют интегрировать соответствующую функцию в следующую версию Firefox.

Для маскировки контента и предотвращения отображения страницы внутри фрейма сайты могут использовать сценарии JavaScript. По словам Стоуна, Facebook и Twitter используют JavaScript, но не используют X-Frame-Options. Однако применение одних лишь сценариев JavaScript недостаточно эффективно. 


Теги: