Сегодня на конференции Black Hat Europe исследователь Пол Стоун из Context
Information Security продемонстрирует четыре новых метода проведения
клик-джекинга и покажет разработанную им браузерную утилиту, упрощающую такие
атаки и позволяющую экспертам увидеть, какие кнопки, ссылки, поля и данные
уязвимы для клик-джекинга.
Сценарий атаки с использованием клик-джекинга предполагает, что злоумышленник
размещает на веб-странице невидимую ссылку, спрятанную под кнопкой на сайте.
Когда пользователь кликает по такой ссылке или просто наводит на нее мышью, его
компьютер оказывается скомпрометированным.
Впервые о подобном способе нападения два года тому назад рассказали
исследователи Роберт Хансен и Джеремия Гроссман, после чего в Internet Explorer
8 и другие браузеры была встроена соответствующая защита. До сегодняшнего дня
считалось, что клик-джекинг эффективен лишь в связке с межсайтовым скриптингом (XSS)
и межсайтовой подделкой запросов (CSRF).
Однако, Стоун обнаружил способ красть данные из веб-форм и с почтовых
аккаунтов, не задействуя CSRF, при этом его атаки эффективны даже против тех
ресурсов, которые не имеют уязвимостей к XSS или CSRF.
Эксперт продемонстрирует четыре типа таких атак – инъекцию в поля ввода
текста, извлечение контента, еще одну форму инъекции в поля ввода текста и атаку
с помощью iFrame. Эти атаки могут использованы для нападения на компьютеры
людей, редактирующих электронную почту или веб-документы, а также для поиска во
внутренних сетях, кражи логинов и просмотра содержимого корзин в
интернет-магазинах. Каждый из этих способов эффективно срабатывает против
новейших версий IE, Firefox, Safari и Chrome.
Цель работы утилиты для клик-джекинга, которую создал Стоун, состоит в том,
чтобы показать экспертам и владельцам сайтов, как легко провести атаку с помощью
клик-джекинга, позволив им выработать необходимые меры защиты. Программа
работает прямо в браузере и производит клик-джекинг видимым способом, делая
скрытые элементы заметными. Это приложение
будет доступно на сайте
Context Information Security уже сегодня.