Все выпуски  

Серверы, сетевое оборудование, тесты, характеристики, советы Новые виды атак на основе технологии кликджекинга




Сумма Технологий - Серверные Системы

информационно-аналитический электронный журнал
stss.3dn.ru

Вторник, 12 июля 2011 года (1943 год – в районе Прохоровки в ходе Курской битвы состоялось крупнейшее танковое сражение второй мировой войны (с обеих сторон в битве участвовало до 1200 танков))

Новые виды атак на основе технологии кликджекинга

Кликджекинг – механизм обмана пользователей, при котором переход по ссылке на каком-либо сайте перенаправляет пользователя на вредоносную страницу – стал очень эффективным. Часто он используется для распространения через Facebook ссылок на вредоносные сайты. Недавно подобные техники показали свою эффективность в деанонимизации посетителей сайта. Также переход по хитрой ссылке может привести к тому, что злоумышленник получит доступ к данным OAuth. Давайте посмотрим, как это происходит.

Классическое применение кликджекинга – рапространение ссылок через Facebook

В классическом сценарии кликджекинга злоумышленник прячет кнопку «Like» или «Share» в прозрачном iframe. Этот iframe располагается над элементом страницы, на который должен нажать пользователь, также iframe может перемещаться за курсором мыши. При нажатии на элемент клик перенаправляется на невидимую кнопку «Like» или «Share». Такие действия не ограничивается Facebook`ом, злоумышленнику только нужно иметь возможность спрятать элементы другого сайта в iframe.

Ниже приведено типичное сообщение, которое можно увидеть в сети Facebook, если одно из ваших соединений было перехвачено с помощью кликджекинга:



Пройдя по ссылке, расшаренной вашим другом, вы попадете на сайт с видео YouTube. Однако, вы не увидите кнопок «Like», которые я выделил на приведенном ниже скриншоте:



Кнопки «Like» расположены там, куда пользователь обычно нажимает, чтобы просмотреть видео: в середине окна и в левом нижнем углу. Жертва не увидит эти кнопки, потому что они находятся в невидимом прозрачном iframe. Запустив это видео пользователь нажмет кнопку «Like», увеличивая популярность сайта на Facebook.

Новые вариации техник кликджекинга

В работе Clickjacking Attacks Unresolved, Линь-Шунг Хуанг (Lin-Shung Huang) и Коллин Джексон (Collin Jackson) рассмотрели более хитрые вариации кликджекинга. Например, они продемонстрировали, как злоумышленник может идентифицировать пользователя вредоносного сайта, запрашивая его информацию у Facebook.

Я записал демонстрационное видео деанонимизации пользователя. На видео показана кнопка «Like», которая перемещается за курсором жертвы, но в реальной атаке кнопка была бы невидимой. Когда пользователь неумышленно нажмет эту кнопку, он станет другом злоумышленника на Facebook (прошу прощения за возможную неточность в терминах Facebook, сам Facebook`ом не пользуюсь – прим. перев.) Затем
Страница злоумышленника через FB.Event.subscribe(‘edge.create’, …) узнает, что жертва нажала кнопку «Like», передает сообщение серверу злоумышленника, который получает список друзей и идентифицирует нового друга. Сервер запрашивает публичную информацию пользователя через Facebook Graph API, и удаляет пользователя из списка друзей.

Эти действия позволяют злоумышленнику получить публичные данные пользователя, включая id пользователя. Авторы работы демонстрируют эту атаку, проведя ее с помощью кнопки Твиттера «Follow»:



bugaga0112358

Читать продолжение подробнее >>>


Последние публикации в разделе «Новости и обзоры»:


Обзор полезного программного обеспечения с возможностью скачать:

  • VertigoServ, 2.24
    VertigoServ - это высокопрофессиональный и простой в установке набор, состоящий из Apache (HTTP веб-сервер), PHP (скриптовый язык программирования), MySQL (многопоточная, многопользовательская СУБД), SQLite (встраиваемый движок баз данных), SQLiteManager (многоязычная веб-утилита для управления БД SQLite), PhpMyAdmin (утилита, написанная на PHP для администрирования БД MySQL) и Zend Optimizer (который увеличивает производительность запущенных процессов на 40%) для платформы Windows...
  • Logs Viewer, 1.0.9
    Фильтр логов...
  • Wireshark, 1.0.4 for MacOS X
    Программа Wireshark предназначена для анализа пакетов Ethernet и некоторых других сетей...
  • InstantVNC, 1.40
    Программа InstantVNC предназначена для удаленного управления компьютером. Программа проста и не требует установки. Управлять компьютером, на котором запущена InstantVNC, можно при помощи любой программы, поддерживающей протокол VNC...
  • HelpSmith, 3.2
    Программа HelpSmith предназначена для создания файлов CHM HTML Help, Web Help и справочных файлов. Обладает мощным текстовым процессором, поддерживает юникод, имеется возможность проверки орфографии и многое др...

Новые темы форума для обсуждения

Серверы и серверное оборудование
  Тема Ответы Просмотры Автор темы Обновления
Комп + Локалка + Скоростной интернет = Сервер 0 1 NightBeast Сегодня, 11:26
Сообщение от: NightBeast
Время создания RAID5 1 32 boubDruth 13.07.2011, 11:24
Сообщение от: singletone
Господа!! Помогите, умер SCSI HDD (IBM) 3 105 Trurfaria 24.06.2011, 11:27
Сообщение от: Trurfaria
Серверная мать S845WD1-E 8 239 DownOfMorale 20.05.2011, 16:00
Сообщение от: DownOfMorale
Посоветуйте RAID-SCSI и стриммер 1 207 wertal 15.03.2011, 15:06
Сообщение от: Сарториус
В глюках РЭЙДА виновен ASUS!!! Ваше мнение??? 4 291 Arrexturl16577 09.03.2011, 18:08
Сообщение от: Arrexturl16577
Двухпроцессорный сервак 7 572 Arifurafarm 26.01.2011, 15:50
Сообщение от: boubDruth
Обзоры железа 1 424 Cosinus1024 30.12.2010, 08:07
Сообщение от: singletone
Нужна помощь
Помогите определиться с сервером
1 919 AK-47 24.11.2010, 08:20
Сообщение от: singletone
Арендованый сервер 1 430 ariftinia 24.11.2010, 08:19
Сообщение от: singletone
Server для mailbox 1 473 Aleftinatochca 24.11.2010, 08:18
Сообщение от: singletone
Как увеличить количество дисков в массиве 1 520 actiteprigise 24.11.2010, 08:14
Сообщение от: singletone
Проблема с AMD Phenom II X6 1090T BE. 0 459 AgennaLem 09.11.2010, 14:59
Сообщение от: AgennaLem
FastTrak TX26508 определяется со второго раза, после горячей
перезагрузки
0 366 wertal 19.10.2010, 12:59
Сообщение от: wertal
Прошивка матушки Intel S5000PAL на SR2500 0 469 NightBeast 12.10.2010, 19:50
Сообщение от: NightBeast
Сетевой сниффер
Сетевой сниффер
2 1521 sipitron 26.07.2010, 13:16
Сообщение от: sipitron
Сервер Dell PE2900 Two, за что отвечает частота шины? 2 2576 ariftinia 04.07.2009, 19:41
Сообщение от: HectFoetkeelf
Насчет серверного оборудования. 3 1306 Ортем 26.05.2009, 16:28
Сообщение от: Anstep
RAID Контроллеры 3 2780 Daniel 25.05.2009, 11:04
Сообщение от: Daniel
Помощь владельцам выделенных серверов
Советы, помощь, заметки по администрированию выделенных серв
0 2533 stss 23.01.2008, 15:33
Сообщение от: stss

Последние публикации из рубрики «Полезные советы по работе с компьютером»:

Microsoft Office - Excel

Для того, чтобы проверить грамматику одновременно во всех листах документа или заполнить определённые ячейки всех листов одной и той же информацией, нужно выделить все листы, щёлкнув правой кнопкой мыши по их заголовкам внизу экрана и выбрав соответствующий пункт меню. После группировки листов, что бы вы ни сделали с любой ячейкой на любом листе, — то же самое произойдёт с одноимёнными ячейками всех остальных листов документа (после окончания операций не забудьте разгруппировать листы, просто нажав на заголовок какого-нибудь из них).

Анатолий Ализар

Другие публикации и советы тут >>>


Новости наших друзей:

«Открылась Всемирная Федерация ТКМ !!!»
Начиная с 1972г ВОЗ активно содействует изучению традиционной китайской медицины. Время интереса к ТКМ сменилось периодом ее тщательного исследования. Наша медицина также стремится совершенствоваться в русле этих рекомендаций. На базе корпорации "Ли Вест" открылось первое в России представительство Комитета по образованию Всемирной федерации обществ традиционной китайской медицины WFCMS!..."

Читать далее на http://li-west.ru >>>


Отдохни (анекдоты, забавные истории):

- О, ты была у парикмахера? - замечает супруг.
- Да, классно, не так ли? - оживляется супруга.
- Да, пожалуй! И когда он обещал закончить?...

*****

Две подружки:
- Ну что, свадьба скоро?
- Боюсь, что очень нескоро. Мой жених - человек очень основательный. Сказал, что прежде, чем поженимся, он обязан познакомить меня со всеми своими родственниками. Вчера вот в зоопарк меня водил - знакомить начал с самых дальних...

*****

Мама Вовочки утром говорит мужу:
- Вовочка говорит, что у него болит голова, надо бы позвать врача.
- Да брось ты, он это каждую неделю говорит, чтобы сачкануть.
- Это так, но дело в том, что сегодня воскресенье...

Другие анекдоты тут >>>

Внимание! Если хотите, чтобы мы посвятили рассылку Вам или вашему сайту, то пишите на почту: altvix@mail.ru


Вы можете добавить свою новость, статью или программу по адресу (необходимо зарегистрироваться): stss.3dn.ru
По вопросам размещения Ваших статей и информации в наших рассылках - пишите нам: altvix@mail.ru
Вы можете добавлять информацию в наше сообщество: http://my.mail.ru/community/stssru/

Путеводитель по городу Истра и экскурсии в монастырь Новый Иерусалим. Информация здесь >>> >
Рассылки Subscribe.Ru
Освещение для интерьеров и парков
Техника для создания любимой погоды в доме, от кондиционера до тепловой пушки
Автономные электростанции для загородного дома и все, что можно к ним подключить
Техника в помощь садоводу и фермеру
Все о насосах для любых водоемов и водонагревателях
Моечная и уборочная техника для быта и производства
Рукопашный бой для девушек -- выживание, психология!
Серверы, сетевое оборудование, тесты, характеристики, советы
Милосердие. Чем ты можешь помочь ближнему.
Православные знакомства
Православные книги, фильмы, программы и другие издания
Агробизнес и советы садоводам
Здоровый образ жизни
Фотосъемка природы и людей на природе и в интерьере
Рецепты кухни народов СССР
Скидки, подарки, призы...
Очки, оптика, одежда, обувь и аксессуары. Новинки и обзоры
Секреты рекламы и создания интернет-магазинов
1С и электронная коммерция

В избранное