點閱綁架攻擊迄今仍無有效解法

面對越來越多的網路威脅，許多資安人員已經知道，要阻擋各種惡意連結和iFrame，以保障網站使用者的安全。但是，面對一個看似「正常」的網頁，在網路使用者點下「同意」或「是」的選項後，卻發現這個同意另有玄機，可能是同意安裝某個不知名的程式，甚至是同意將錢轉到某一個陌生帳戶。

SecTheory執行長Robert Hansen發現點閱綁架（Clickjacking）漏洞，日前來臺時表示，這個漏洞存在於現今每一種瀏覽器和Adobe Flash中，是一種針對式攻擊（Target Attack），攻擊目標為使用者多、流量大的網站。目前多側重用戶端的防護，要降低點閱綁架攻擊的機率，除了網站禁用JavaScript或採用Frame Busting，迄今仍無有效阻擋的方法。

Robert Hansen表示，點閱綁架攻擊的手法是，讓網路使用者點選網頁同意按鍵時，藏在原本網頁下的透明網頁的同意指令，也同步被執行。也就是說，網路使用者以為點選的同意，是該公司網頁上的正常功能，但同時隱藏的惡意執行指令也被觸發了。這個不知覺中觸發的惡意指令，可能是同意將錢轉到某一個陌生帳戶或同意開啟網路攝影機等。

Robert Hansen說，這個攻擊手法其實是利用HTML語法所支援的某些特殊內嵌物件（例如Opaque物件），讓網路使用者在點閱網頁畫面時，同時觸發另外一個隱藏的執行按鈕，暗中執行了對使用者系統有安全威脅的指令或惡意程式。

雖然點閱綁架攻擊看起來像HTML語法漏洞導致，但Robert Hansen強調：「瀏覽器導致的點閱綁架漏洞不一定是HTML漏洞，可能是JavaScript漏洞導致的。」很多透明網頁是用CSS語法製作，即使禁用JavaScript也阻擋不了這種CSS語法寫成的網頁。

要利用這個手法發動攻擊並不容易，Robert Hansen表示，要做一個和網路使用者正在瀏覽的網頁一模一樣的透明頁面，必須非常了解這個網站和網頁的設計才行。因此，「目前看來，點閱綁架攻擊仍是一種針對式攻擊。」Robert Hansen說道。

某位服務於國內大型網路服務商的資安技術顧問表示，各種部落格平臺是最容易發生點閱綁架攻擊的目標，防範的方法是，「網站不允許HTML（或者是允許有限的HTML）語法，杜絕該平臺被利用來做點閱綁架攻擊平臺的機會。」他說。但是，很多透明網頁都是用CSS語法寫的，就算網站禁用JavaScript，也阻擋不了這種被疊在原始網頁上面的點閱綁架攻擊手法。

他也建議，網站的重要網頁，例如管理頁面，可使用Frame Busting作法，把自己的網頁內容放到瀏覽器最上面，即使該網站被駭客拿去包在他們的框架中，也可以超過該框架，回到瀏覽器最上層，做到確保網頁都會在自家網址下執行，不會被包到其他地方，避免被點閱綁架攻擊。

目前點閱綁架攻擊仍難根治，Robert Hansen表示，他只花2周就找到這個漏洞和研發攻擊程式原型，揭露漏洞最終目的是希望，各家瀏覽器廠商和Adobe趕緊修補相關漏洞。目前有效的預防之道，包括安裝火狐狸（Firefox）瀏覽器NoScript外掛程式，與儘速升級到Adobe Flash 10.0版，都可以降低直接暴露在點閱綁架攻擊的危險中。文⊙黃彥棻