【TechTarget中国原创】两位应用安全专家发现了一个著名的浏览器攻击技术。这种技术比以前思想的影响更为深远。专家还称使用这种技术的攻击者可以强制用户点击他们选择的任何内容。
WhiteHat Security Inc.的首席技术官Jeremiah Grossman说:“在任何地方的任何网页的按钮都可以这么做。” Jeremiah Grossman和Robert Hansen最近确定了这种技术的严重。他们两人原计划本周在纽约的开放Web软件安全计划(Open Web Application Security Project,OWASP)大会上围绕他们的发现发表讲话,但是在把他们的研究向Adobe Systems Inc.演示后,就主动取消了这次讲话。Adobe Systems Inc.对这种攻击的可能对Adobe用户的影响非常关注。
这种技术背后的问题被Grossman和Hansen称为clickjacking。这个问题已经被Web应用安全团体了解了一段时间了。它不是一个JavaScript的问题,但是却包含浏览器自身功能的一些方式。这种技术可以使攻击者指定用户点击的连接。尽管如此,研究人员发现攻击背后的问题要比安全专家们想到的还要广泛。Grossman和Hansen和Adobe在这个问题合作,而且还和微软和Mozilla一起讲明这种攻击如何影响浏览器。但是,出现了一种共识,就是它不太容易解决。
Grossman说:“这个问题已经知道很久了,Web安全团体都知道。但是它的潜在影响一直都被低估了。浏览器厂商知道这个问题。但是他们不知道如何或者是否可以解决这个文。它不是一个简单的补丁。它可能是浏览器安全模式的重新架构。这不只是Adobe的一个缺陷,它会影响到每一个人。”
Hansen是一位独立的安全研究人员。Grossman说他和Hansen希望一旦Adobey有时间解决软件,他们就可以马上发布这种攻击的细节以及概念证明代码。Grossman没有说明那些Adobe的应用会受到影响。
虽然他们决定本周不在OWASP上发表他们的原定讲话,但是Grossman和Hansen把这个问题分开来讲了,省略了很多他们原计划要讲的细节,而且仍然想要把这个问题的严重性讲清楚。
Grossman说:“听众们了解到这是个不好的事情,但是我们没有谈到具体细节。这将在以后谈到。厂商觉得他们需要更多的时间。”
研究人员建议关注这个问题的用户暂时使用Lynx。Lynx是文本格式的浏览器。