下载此文档

点击劫持漏洞攻防技术研究.doc

文档分类：IT计算机 | 页数：约5页举报非法文档有奖

1/5

下载提示

1.该资料是网友上传的，本站提供全文预览，预览什么样，下载就什么样。
2.下载该文档所得收入归上传者、原创者。
3.下载的文档，不会出现我们的网址水印。

同意并开始全文预览

(约 1-6 秒)

1/5 下载此文档

文档列表 文档介绍

图1 2010-2011年主要web漏洞Google搜索结果数量
2012-0点7-13击####劫#####持####漏###2洞012-攻07-1防3##技####术#2#01研2-07究-13########
王剑 1,张玉清 2

(1. 西安电子科技大学网络与信息安全教育部重点实验室,陕西西安 710071 ;
2. 中国科学院研究生院国家计算机网络入侵防范中心,北京 100049)
摘要:文章详细分析了点击劫持漏洞产生原理、漏洞利用以及漏洞防御方法等,针对 Frame Busting 攻
击防御方法,进行了全面分析研究,最后给出点击劫持漏洞发展趋势。
关键词:Web 安全;点击劫持;防框架代码;拖拽
中图分类号: 文献标识码:A 文章编号:1671-1122(2011)07-0016-04
A Study of Clickjacking Vulnerabilities
WANG Jian1, ZHANG Yu-qing2
( 1. The Key Lab works and Information Security of Ministry of Education, Xidian University, Xi’an Shanxi 710071, China;
2. works Intrusion Protection Center, GUCAS, Beijing 100049, China )
Abstract: In this paper we describe the detail of Clickjacking attack technology, including the theory, exploit and defense. We introduce how to use and circumvent Frame Busting Code. At last, we introduce the future development trend of the Clickjacking.
Key words: web security; Clickjacking; Frame Busting; drag-and-drop
0 引言
2008 年,网络安全专家 Robert Hansen 和 Jeremiah Grossman 在 OWASP(开放 Web 软件安全项目)会议上第一次提出了点击劫持漏洞(Clickjacking)[1],并且现场演示实例说明该漏洞的危害性。从此,网络安全研究人员开始研究分析这种全新的攻击方法。2010 年在第 14 届 Black Hat 大会上,安全专家 Paul Stone 讲解了下一代 Clickjacking 的拖拽(Drag-and-Drop)技术[2]。利用这种技术,黑客的攻击手法更加灵活多变,能够突破许多传统的安全防御措施,获取更多的用户信息,增加了 Clickjacking 漏洞的危害性。
从 2008 年到 2011 年,国外著名社交网站 Fa c eb o ok 发生多次利用此种漏洞进行蠕虫攻击的案例[3-5]。同时,各大互联网公司和网络安全公司也提出了各自的防御方法。微软在新浏览器 I E8 中提出一种专门针对 C l ick

点击劫持漏洞攻防技术研究来自淘豆网m.daumloan.com转载请标明出处.