点击劫持保护被新型漏洞绕过 媒体
  • 12

新型攻击:DoubleClickJacking 威胁

关键要点

DoubleClickJacking攻击能规避几乎所有主要网站的点击劫持防御,导致账户被接管。攻击过程涉及访问恶意网站并在用户不知情的情况下进行重定向和权限开放。传统防御措施如 XFrameOptions 和 SameSite cookies 对这种攻击措施无效。

几乎所有主流网站都可能受到新的 DoubleClickJacking 攻击技术的威胁,这种攻击方式利用了用户点击过程中的时间间隔,以绕过现有的点击劫持防御措施。根据《黑客新闻》的报道,这种攻击可能会导致用户账户被轻易接管。

点击劫持保护被新型漏洞绕过 媒体

DoubleClickJacking 攻击通常始于访问一个恶意网站,该网站可以在没有用户交互的情况下重定向用户到新标签或新窗口。接下来,会触发一个 CAPTCHA 验证,这个过程会导致双击操作,进而利用 JavaScript 的窗口位置对象将用户重定向到另一个恶意页面,并在用户不知情的情况下授予访问权限。安全研究员保罗斯伊贝罗Paulos Yibelo对此进行了分析,他指出:“DoubleClickjacking 增加了一层许多防御措施之前未曾考虑到的风险。像 XFrameOptions、SameSite cookies 或 CSP 等方法无法抵御这种攻击。”

攻击方式影响传统防御措施DoubleClickJacking绕过防御,账户被接管无法防御XFrameOptions等

此外,浏览器厂商被敦促采用新的反点击劫持防御标准,以防护 DoubleClickJacking 攻击。随着网络安全威胁的不断进化,更新防御措施显得尤为重要。

风驰加速器官网入口