各微博客的 CSRF 和 Clickjacking 漏洞
作者:邹阳 | 发表于:2016-04-17 22:03:46
阅读量:(228) | 所属栏目:安全
微博客的流行是 Web 大潮中的奇葩,然而近期爆发的 饭否、叽歪、Twitter 等的安全漏洞,着实让前端开发工程师大开眼界。
饭否 和 叽歪 的 CSRF 漏洞,使得攻击者能通过段 Javascript 代码在用户不知情的情况下,向微博客服务器发布相应的消息,从而造成攻击。
感叹:
客户端的 Javascript 脚本早已经摆脱仅仅是显示页面效果的“玩具”,它已经变成一把利刀。这把刀能帮前端解决问题的同时,也能伤害到用户。
同比,
年初爆发的 Twitter Clickjacking 漏洞,它将 Twitter 的发布页面通过 iframe 嵌入到第三方页面,
然后通过 CSS 使得并将 Twitter 的发布按钮与第三方页面的按钮重合。这样,当用户本意点击第三方页面的按钮时,
实际上点击的是 Twitter 页面的发布按钮,进而造成攻击。
感叹:
前端攻击方式也正逐渐的升级,防范前端代码的攻击不仅仅就是防范 Javascript 等前端脚本,CSS 甚至 HTML 也能构成攻击。
饭否 和 叽歪 的 CSRF 漏洞,使得攻击者能通过段 Javascript 代码在用户不知情的情况下,向微博客服务器发布相应的消息,从而造成攻击。
感叹:
客户端的 Javascript 脚本早已经摆脱仅仅是显示页面效果的“玩具”,它已经变成一把利刀。这把刀能帮前端解决问题的同时,也能伤害到用户。
同比,
年初爆发的 Twitter Clickjacking 漏洞,它将 Twitter 的发布页面通过 iframe 嵌入到第三方页面,
然后通过 CSS 使得并将 Twitter 的发布按钮与第三方页面的按钮重合。这样,当用户本意点击第三方页面的按钮时,
实际上点击的是 Twitter 页面的发布按钮,进而造成攻击。
感叹:
前端攻击方式也正逐渐的升级,防范前端代码的攻击不仅仅就是防范 Javascript 等前端脚本,CSS 甚至 HTML 也能构成攻击。