點擊劫持式Web攻擊與防御

章強華　韓榮杰

近幾年，隨著互聯網及其應用不斷發展，互聯網安全態勢也不斷發展變化。各種針對Web應用的攻擊形式不斷出現，相對于傳統的網絡層攻擊，這些攻擊從應用層入手，可以輕易避開防火墻等傳統安全防護設備，利用Web應用的漏洞，直接對Web應用展開攻擊。這一類攻擊行為往往懷有經濟性企圖，例如竊取用戶賬戶密碼信息、獲取用戶權限、欺騙用戶進行某種操作等，其目的性更明確，影響范圍廣，危害較大。其中以點擊劫持式的攻擊形式尤其讓人防不勝防。

相識Click Jacking

2008年，SecTheory公司的羅伯特·漢森（Robert Hansen）和白帽安全公司的杰羅麥亞·格羅斯曼（Jeremiah Grossman）首次提出了點擊劫持漏洞（Click Jacking）。它是一種基于視覺欺騙的WEB會話劫持攻擊，通過在網頁的輸入控件上覆蓋一個不可見的框（Frame），當用戶操作該控件時，實際上是在其之上的不可見的框 （Frame）中進行操作。

點擊劫持的基本方法是允許攻擊者強制Web用戶在想要點擊良性鏈接的時候，點擊到惡意鏈接，攻擊者可以構建一個惡意的Web頁面，用以在用戶的電腦上安裝rootkit或者其他惡意軟件，然后用看起來無害的網頁呈現所有頁面，比如，其中一個就含有基于Flash的游戲。當用戶點擊頁面上的各種鏈接和按鈕的時候，實際上點擊的是被攻擊者控制的隱藏的鏈接。

相知Click Jacking

伴隨著WEB2.0的出現，以及HTML5的發展，很多應用操作都已經向WEB上移植，使基于WEB的攻擊層出不窮，信息安全也開始過渡到以Web環境為基礎、Web應用為載體新時代.相對于WEB安全十多年的發展史，點擊劫持算是一種較新型的攻擊手法，其發展十分迅速，在百度搜索點擊劫持攻擊結果中可以看到151000條記錄。

點擊劫持攻擊剛被提出來的時候，主要攻擊模式包括“鼠標拖放”劫持和“觸摸劫（tap jacking）”兩種。其中，一是結合Iframe、CSS等技術隱藏目標網頁；二是結合社會工程學、JavaScript技術、Flash 以及AJAX 技術實現欺騙點擊、鼠標跟隨、鼠標點擊劫持等，目的是欺騙和劫持用戶鼠標點擊目標按鈕，并進行各種“后臺”操作，獲取用戶敏感信息，控制攝像頭等終端PC資源。例如，將一個彈出框外觀設計成與QQ消息框一模一樣的形式，用戶潛意識中會不假思索點擊查看最新的消息，從而觸發惡意攻擊。

拖放劫持

在Black Hat Europe 2010大會上，Paul Stone提出了基于點擊劫持延伸的另外一種攻擊模式——鼠標“拖放劫持”攻擊。它具有以下四項特點：

操作簡單：點擊某個對象，并按住鼠標按鈕不放，將鼠標移動到另一個區域，然后釋放鼠標按鈕將對象“放”在這里。

可見即可拖：瀏覽器中可以拖放對象一直在不斷的增加，而且允許頁面上任何控件成為放置目標，隨著HTML5的發展，支持拖放操作的API函數也會相應增多而且功能強大。HTML5中拖動時依次觸發以下事件：Dragstart、Drag、Dragend；放置時依次觸發以下事件：Dragenter、Dragover、Dragleave或 Drop。

dataTransfer 對象：dataTransfer 對象使得自定義處理拖曳操作成為可能。dataTransfer對象可于源對象和目標對象中使用，通過event對象完成這種功能。典型用法是，setdata方法用于源事件，以指定格式給對象賦予數據；相應的，getData方法用于目標事件以便確保獲取的數據和數據格式。

跨域操作：拖放不受同源策略限制，用戶可以把一個域的內容拖放到另外一個不同的域，而這樣的操作是“點擊劫持”無法做到的。跨域操作可以拖放鏈接，這些鏈接中可能會有session key，token，password，也可以拖放內容，把頁面拖拽到文本編輯模式中，這樣就可以看到源代碼。這些HTML源代碼中可能會有type="hidden"等敏感信息。

觸屏劫持

近幾年，移動互聯網發展十分迅速，通過智能移動終端上網的用戶數已遠超PC用戶。針對現有智能移動設備，斯坦福大學的研究人員從攻擊電腦瀏覽器的類似方式點擊劫持引申出一個新的概念：觸屏劫持。

當前的智能移動設備觸屏即包含了PC上的鼠標和鍵盤全部功能，智能設備屏幕小，視覺攻擊更容易。在智能移動設備觸屏上，手指的點擊與松開、拖與放都有特定的API函數接口，完全可以編寫瀏覽器識別的WEB腳本。此外，針對移動終端的WEB應用安全還未得到足夠重視（因為攻擊事件還相對少），因此，點擊劫持變種為觸屏劫持（Tap jacking）并在觸屏上實現是完全可能的。

防御Click Jacking

點擊劫持是用巧妙的視覺欺騙的方式對WEB會話進行劫持。通過對點擊劫持攻擊模式分析，可以發現其實現必須滿足以下幾個前提：一是惡意網頁必須能夠以一定方式存在于正常網頁中，這需要依賴Iframe等一些特定技術實現方式；二是客戶端瀏覽器Cookie，攻擊者能夠利用用戶身份進行惡意攻擊；三是網頁之上必須有欺騙鼠標操作交互，誘騙用戶點擊、拖放。針對以上特點，筆者設計實現對于點擊劫持的防御解決方案。

點擊劫持防御主要包含客戶端防御和服務器端防御兩個方面。對于客戶端來說，目前幾乎所有的瀏覽器都提供了防御點擊劫持的安全機制，例如支持X-Frame-Options。對于客戶端來說，及時更新瀏覽器、修復安全漏洞，提高個人安全意識，不隨意訪問、點擊不安全的頁面，都能夠有效地防止這一類惡意攻擊。

針對服務器端的防御方法，目前有三種：

支持X-Frame-Options。X-Frame-Options是由微軟提出來的防御點擊劫持的一種方法，WEB開發人員可以在HTML responses中加入一個X-Frame-Options字段，瀏覽器會根據X-Frame-Options字段中參數來判斷頁面是否可以被IFRAME標簽包含，通過拒絕或限制iframe 載入，黑客就無法通過Iframe 隱藏特定的網頁。

使用Frame Busting代碼。這種方法是使用javascript腳本來對頁面進行控制，達到頁面無法被IFRAME標簽包含。但是如果用戶瀏覽器禁用JavaScript 腳本執行，則Frame Busting 代碼也無法正常運行，所以這一方法只能提供有限的防御。

使用驗證碼認證用戶。在網站頁面上增加認證碼來識別用戶，確定是用戶的發出的點擊命令才執行。例如，在許多網站上設置的交互認證碼，要求用戶輸入圖形中的字符、選擇相似圖形等。

（作者單位：國網浙江杭州市蕭山區供電公司）endprint