Clickjacking：劫持你的网页点击

CNET科技资讯网5月26日国际报道 想从报摊上拿一份报纸，拿到的却是一颗石头，或者打开杂货店的大门，却发现自己站在一艘船上。这种科幻电影的情节，正可用来说明目前最新、最严重的网络威胁。

Whitehat Security共同创始人兼首席技术官Jeremiah Grossman表示：大多数被蠕虫和攻击利用的软件漏洞都能修补，但跨浏览器攻击手法点击劫持（clickjacking）是网络运作方式中既有的设计瑕疵。恶徒在某个使用者想要点击的东西上，叠入一个隐形按键…它可以是任何网站之任何页面上的任何按键。

这种方法被用在今年2月对Twitter发出的若干恶作剧攻击。其中一个案例，是使用者点入出现在tweet旁边某个写着“别点”的链接，然后在另一个独立网页上点下同样写着“别点”的按键。第二个链接会将原本的tweet传送到该使用者的每个追踪者，迅速地自我传播。

当时，Grossman还把它称作“无害的实验”，但有可能被恶意人士利用。但在上周的示范中，Grossman证明了有心人能利用Flash发动点击劫持攻击，在使用者无知觉的情况下，开启电脑的镜头，进行偷窥或监视。

顾名思义，点击劫持就是在你不知情之下，劫持你的点击。搭配能针对特定网页、让浏览器视窗分成多个部份的iFrame，当使用者的鼠标点击到恶意iFrame隐藏的部分，攻击随之发动。

攻击者能把恶意iFrame藏在任何网页的任何链接上（如纽约时报的新闻标题，或Digg的"digg this"按键），受害者以为自己点的是网页上的链接，其实是隐藏的iFrame。Grossman示范中的iFrame，包含一个Flash自动跳出视窗，要求使用者同意打开网络镜头。受害者点击之后，镜头便会打开，并偷偷录下电脑前的一举一动。

点击劫持最骇人部分之一，就是它被滥用的可能。攻击者能偷窥或偷听你的行动，将你导向某个网页下载恶意内容，甚至诱使你在网络商店花钱买下一堆商品。更严重的是，终端使用者能自我保护的方法非常有限。

Grossman表示，以网络镜头的攻击为例，使用者能作的就是把镜头遮住，和关闭麦克风。Flash Player 10也提供若干防范不明要求对话窗的保护。某些专门为IE 8设计的网站，也能防范这类攻击，但只有使用IE8进入这些网站才有用。

Grossman提醒，使用Windows和IE的民众应关闭JavaScript，才能防范点击劫持。Firefox较安全，该浏览器的NoScript附加元件不仅能选择性地阻挡指令，还有一项特别针对点阅绑架的ClearClick功能。使用完Facebook和Twitter这类网站後，也应该执行登出。Grossman说：“没有登入就不会被迫在这些网站上执行任何动作。”