Clickjacking 是前不久爆出的安全漏洞,影响所有web浏览器,以及包括普及率很高的Flash Player。而在相关安全更新迟迟未到,在修补程序到来之前,提醒各位网友需要谨慎操作,谨防被钓鱼。

Clickjacking 从字面上有点难理解漏洞的使用,我现在的理解如下:漏洞原因就是click事件能够被穿透,例如

使用一个iframe来引入一个需要操作的页面,这个页面就是需要欺骗用户去操作的页面,比如安全设置页面。在其上面放置一个引导其操作的内容。

比如说网页游戏或者Flash游戏,通过游戏一步一步引导点击操作,这样将相关的权限设置打开。然后就可以使用配置好的权限来偷窥你或者获取你的隐私了。比如说开启你的摄像头和麦克风。

更严重的还有可以引入一些以保存登录密码的一些帐户页面,余下的操作就看“垂钓者们”怎么使用了。

有人在youtobe发布一段模拟攻击视频,有兴趣的可以看一下: