HackerNews 编译,转载请注明出处:
安全研究人员披露了一种名为“双击劫持”(DoubleClickjacking)的新型攻击技术,这是一种“基于时间的广泛漏洞类别”,通过利用双击操作实现点击劫持攻击,并可能导致账户接管,几乎影响所有主流网站。这一漏洞由安全研究员 Paulos Yibelo 命名。
“不同于传统的单击攻击,这种技术利用双击序列,”Yibelo 表示,“虽然看似只是微小的变化,却使得攻击者能够实施全新的用户界面操纵攻击,绕过所有已知的点击劫持防护措施,包括 X-Frame-Options 标头和 SameSite:Lax/Strict cookie。”
点击劫持(Clickjacking),又称用户界面重定向攻击,是一种诱导用户点击看似无害的网页元素(如按钮),从而触发恶意操作或窃取敏感数据的攻击手法。而双击劫持是这一技术的演进,通过双击操作中的时间间隙绕过防护,以更低的用户交互成本实现攻击目标。
具体的攻击步骤如下:
1. 用户访问由攻击者控制的站点,该站点会通过单击按钮或无交互直接打开一个新窗口(或标签页)。
2. 新窗口可能伪装为类似 CAPTCHA 验证的无害界面,提示用户完成双击操作。
3. 在双击过程中,攻击者利用 JavaScript 的 Window Location 对象将页面悄然重定向到恶意链接,例如批准恶意 OAuth 应用的授权。
4. 同时,顶层窗口自动关闭,用户在不知情的情况下完成授权,授予攻击者访问权限。
“目前,大多数网络应用和框架仅针对单次强制点击进行了防护,”Yibelo 指出,“而双击劫持通过引入时间间隙,使现有防御机制(如 X-Frame-Options、SameSite cookie 或 CSP)失效。”
网站所有者可以采用客户端防护策略,例如默认禁用关键按钮,只有在检测到鼠标手势或按键操作后才启用。据悉,Dropbox 等服务已采用类似的预防措施。
从长远来看,建议浏览器开发商引入类似 X-Frame-Options 的新标准,以应对双击劫持攻击。
“通过利用点击事件之间的时间差,攻击者可以在用户毫无察觉的情况下,将无害的界面元素替换为敏感内容,”Yibelo 补充道,“这一攻击手法是对已知漏洞类别的全新变种。”
此次披露的漏洞与 Yibelo 近一年前演示的另一种点击劫持变种——跨窗口伪造(Gesture-jacking)有异曲同工之妙。跨窗口伪造通过诱导用户在攻击者控制的网站上按住 Enter 键或空格键,触发恶意操作。
例如,在 Coinbase 和 Yahoo! 等网站中,如果受害者已登录账户,攻击者可以利用这一技术实现账户接管。这是因为这些网站允许攻击者创建权限范围广泛的 OAuth 应用,并对“允许/授权”按钮的 ID 值设置了静态或可预测的标识,从而使攻击者能够轻松获取受害者账户的访问权限。
消息来源:The Hacker News, 编译:zhongx;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
