看影片偷按讚-Clickjacking活用入門(誤)

記得有一陣子,FB很流行"必須先按讚才能看影片"的分享貼文。討厭強迫中獎,我多半選擇不看,再不然就是自己Google去找YouTube原始影片。前陣子在JavaScript.tw FB社團看到TonyQ分享影片網站利用Clickjacking偷抓你的手按讚的伎倆,想起最近固定會收到幾個影片網站的新訊息通知(在粉絲團按過讚,預設會接收通知。PS: 想訂閱本站訊息通知的朋友,知道該怎麼做了吧? :P ),莫非自己被陰了還知道? 趕緊檢查按讚記錄,果然... 過去曾大言不慚說自己資安偏執,這下丟臉丟大了~~ (掩面)

丟臉沒關係,學到教訓增廣見聞才是重點,決定花點功夫研究學習一番。

所謂的Clickjacking,意指"誘導使用者誤認滑鼠將點選某個項目,背地裡卻藉由該點擊行為觸發其他動作"的手法,某些網頁行為必須使用者親自點擊才有效,進而以使用者身份存取資料或執行操作,惡意人士可藉此建構資安陷阱。在這次案例中,影片網站用Iframe內嵌了FB按讚鈕網頁,因隸屬不同網域,瀏覽器基於安全不允許影片網站透過JavaScript操控FB網頁執行按讚動作,誘導使用者不知不覺間點擊FB按讚鈕成為唯一的突破方式。

開始研究前,先來段示範。我們先查詢FB按讚記錄--空空如也。接著到影片網站按下影片紅色播放鈕,影片播了,讚也按了。回到FB按讚記錄重新查詢,馬上可查到對該FB社群的按讚記錄。

對Clickjacking手法好奇,特地開啟瀏覽器工具偵察一番。用Firefox的Page Inspector 3D檢視,可以看到播放鈕上藏了一堆透明的FB按讚鈕,按下播放鈕的同時,無形中也按了讚。

在另一個網站也看到類似手法。

除了將按鈕藏在固定位置,還有一種更巧妙的如影隨形法。如以下動態展示,滑鼠移動的同時,<iframe>的left與top會不斷修正,目的在使iframe追著滑鼠游標跑,不管滑鼠點在網頁的任何角落,都將不偏不倚點在iframe上,"讚"吧?

初步觀察,這些行為應未構成嚴重資安危害,頂多讓人在不知情下為特定對象按讚(網站可能因此獲利)。不得不承認這些網站的確投入精力蒐羅新奇有趣養眼資訊,不然人們也不會被吸引點閱,但強迫取分的手法實在不怎麼光明正大。

如果不想"讚"被人偷走,是否有防範之道? 有骨氣一點,打死不看不就好了? XD  我想,每次開啟此類連結都用無痕模式(或私密瀏覽模式),會是個不錯的方法。

【延伸閱讀】

歡迎推文分享:
Published 05 March 2014 10:10 PM 由 Jeffrey
Filed under:
Views: 12,058



意見

# R+ said on 06 March, 2014 07:25 AM

把  js 關掉 XDD

# Randolph said on 10 April, 2014 12:04 PM

HTTP 表頭送出

X-Frame-Options: SAMEORIGIN

X-Frame-Options: Deny

這是其中一個防範 iframe 的 Clickjacking 攻擊

給各位參考......

你的看法呢?

(必要的) 
(必要的) 
(選擇性的)
(必要的) 
(提醒: 因快取機制,您的留言幾分鐘後才會顯示在網站,請耐心稍候)

5 + 3 =

搜尋

Go

<March 2014>
SunMonTueWedThuFriSat
2324252627281
2345678
9101112131415
16171819202122
23242526272829
303112345
 
RSS
創用 CC 授權條款
【廣告】
twMVC
最新回應

Tags 分類檢視
關於作者

一個醉心技術又酷愛分享的Coding魔人,十年的IT職場生涯,寫過系統、管過專案, 也帶過團隊,最後還是無怨無悔地選擇了技術鑽研這條路,近年來則以做一個"有為的中年人"自許。

文章典藏
其他功能

這個部落格


Syndication