最近的 Twitter 的 Clickjacking 漏洞 值得我们注意下。
这个漏洞的原理,就是将 Twitter 的发布页面 通过 iframe 载入到第三方页面。然后将 iframe 透明度设置成零,并将发布按钮与第三方页面的按钮重合。当用户本意点击第三方页面的按钮时,实际上点击的是 Twitter 页面的发布按钮( 详细 )。
由于 Twitter 中的好友基本上都是熟人,加之好奇心的驱使很多人都会点击该按钮,因此很快就被传播开来。不过很快截止目前(2009-02-12), Twitter 官方已经修复了该漏洞 。
官方的修复方式较简单,就是判断页面是否被 iframe 引入,如有则清空 body 节点的内容。而个人认为,这是非常偷懒而且治标不治本的的解决办法。
首先,既然清空页面(还做了个延时,又那么多的 DOM 操作,费时又费力),那何不直接跳转?其次,就是发现 Twitter 将几乎所有的 Web 版页面都加入了这段代码,有点杀鸡取卵的意思。再加个「马后炮」,其实这个页面压根就可以不用处理 $_GET['status']
请求。
看了下代码,发现 Twitter 发布页同时包含了个 Javascript 的全局变量 twttr.form_authenticity_token
,-- 我想你知道干嘛用的 (当然,前提条件是你怎么得到它)。
另外,还有个安全隐患,就是 移动版的 Twitter 页面 。手机页面由于没有过多的考虑 Javascript 操作,也就没有了上述的那段代码,但这意味着 Clickjacking 攻击其实在此页面还是存在的。
上图是将此页面加入到 iframe 的效果,感谢 玉伯 同学的测试,剩下就打住不继续说了。
几点心得和感叹
- 前端代码在实现越来越丰富的应用的同时,也给安全问题划开了道巨大的口子
- Twitter 此法虽然也解决了该漏洞,但个人感觉并非常「不完美」。这就想起在平时,需要用什么方法才能恰当的搞定相应的需求
- 老生常谈, 避免 Javascript 全局变量 -- 没有不注意它的理由
- 漏洞的解决尽可能覆盖到所有的产品线,捡了西瓜的同时还得捡起芝麻
明城哥这段时间博客都是研究js安全方面的东西,很不错!可以考虑出个专题,呵呵。
p.s:以后都不敢点你Twitter上的链接了,哈哈
简单看迅雷看看的代码,也是很粗糙的。有没有办法获取点特殊信息呢,比如下载地址啥的 :)
截图:
http://img23.imageshack.us/my.php?image=20090214185716rp4.png
唉, 做人要和谐, 不能总干坏事.