Solving Clickjacking - HTTP 203
Twitter Nation, đứng xuống: Cuộc tấn công clickjacking plaguing Twitter thứ năm này đã được sửa.
Twitter Clickjacking: "Don't Click"
Lỗi clickjacking Twitter không thực sự là một mối đe dọa lớn, có vẻ như, nhưng nhiều hơn một chút khó chịu. Đây là những gì đã xảy ra: Ai đó sẽ đăng thông báo có nội dung "không nhấp" cùng với URL được che dấu. Nếu bạn nhấp vào liên kết, cùng một thông báo sẽ tự động được đăng lên tài khoản Twitter của bạn. Một trong những người bạn của bạn, sau đó, sẽ kết thúc nhìn thấy thông điệp của bạn, nhận được tò mò, và nhấp vào nó - do đó tạo ra một loại lan truyền hiệu ứng.
"Đừng click" - tốt ol 'tâm lý đảo ngược tại của nó tốt nhất. Đoán rằng công cụ thực sự làm việc. (Lưu ý về bản thân: Bắt đầu trao số điện thoại cho những người phụ nữ hấp dẫn với ghi chú: "Đừng gọi.")
Sự thật đằng sau Tweeting
Vậy điều gì đã thực sự xảy ra ở đây? Những con mèo tuyệt vời ở Sunlight Labs nói rằng đó là tất cả về các iframe. "Điều này 'virus' là nó tạo ra một khung nội tuyến của trang, giấu nó, và khi bạn nhấp vào nút đó và bạn đã đăng nhập vào Twitter, nó làm cho bạn đăng thông điệp đó (mặc dù bạn không nhìn thấy nó), "Giám đốc phòng thí nghiệm ánh sáng mặt trời Clay Johnson giải thích trong blog của mình. "Không có chút tham gia javascript," anh nói.
Bạn có thể xem toàn bộ mã lỗi được dịch sang tiếng Anh tại đây. Tất nhiên, tất cả những gì bạn thực sự có thể làm là đọc nó. Nó sẽ không hoạt động nữa
Twitter Fixers
Đội của Twitter đã có thể ngăn chặn lỗi trong vài giờ. "Việc không nhấp vào '+ liên kết điều là một' clickjacking 'hack," Giám đốc điều hành Twitter Evan Williams đã viết khoảng 1:30 chiều. ET. Sửa lỗi đang diễn ra, "tweet của anh ấy đã được hướng dẫn.
Trong khoảnh khắc, kỹ sư vận hành John Adams - được biết đến nhiều hơn với những người theo dõi là" Netik ".
"Chúng tôi đã vá" không nhấp vào "tấn công clickjacking 10 phút trước," anh lưu ý. "
Blog chính thức của Twitter giờ đây cung cấp thông tin chi tiết hơn:
" Rất may, tác hại đã bị hạn chế để liên tục đăng lại liên kết, nhưng chúng tôi rất coi trọng các cuộc tấn công nguy hiểm đến người dùng Twitter và sáng nay chúng tôi đã gửi bản cập nhật chặn kỹ thuật nhấp chuột này. "
Whew. Ít nhất chúng ta có thể yên tâm khi biết rằng Hammer vẫn an toàn trước điều này. Anh chàng đó quá nhạy cảm để bấm.
(Xin lỗi. Không thể cưỡng lại.)
Một ngày sau khi một công ty an ninh vô tình đưa ra các chi tiết của một lỗ hổng nghiêm trọng trong hệ thống DNS (Domain Name System), các hacker nói rằng phần mềm khai thác lỗ hổng này chắc chắn sẽ xuất hiện sớm. Dave Aitel, giám đốc công nghệ của hãng Immunity, cho biết hãng đang phát triển mã tấn công cho lỗi, và sẽ có nhiều khả năng sẽ xuất hiện trong vài ngày tới. Công ty của ông ta cuối cùng cũng sẽ phát triển mã mẫu cho phần mềm thử nghiệm Canvas của mình, một nhiệm vụ mà ông ta mong đợi
Tác giả của một công cụ hacker được sử dụng rộng rãi cho biết ông hy vọng sẽ bị khai thác vào cuối ngày thứ ba. Trong một cuộc phỏng vấn qua điện thoại, HD Moore, tác giả của phần mềm thử nghiệm xâm nhập Metasploit, đã đồng ý với Aitel rằng mã tấn công sẽ không khó để viết.
Tồi tệ hơn, một số người dùng có thể nhầm tưởng rằng chúng được bảo vệ khỏi tấn công chỉ vì họ đang sử dụng IE, theo Giorgio Maone, nhà phát triển plugin Firefox NoScript, thường được coi là biện pháp bảo vệ tốt nhất từ nhiều cuộc tấn công dựa trên web, bao gồm cả clickjacking. "Tin xấu cho những người đam mê IE là họ đã không có sự bảo vệ 'ra khỏi hộp' ma thuật", ông viết trên blog của mình hôm thứ ba. "Đúng, nó không yêu cầu bất kỳ 'add-on trình duyệt' ... nhưng nó đi kèm với
NoScript cho phép người dùng chọn lọc chặn việc sử dụng các ngôn ngữ kịch bản trong trình duyệt Firefox. Bởi vì clickjacking yêu cầu kịch bản, các cuộc tấn công không hoạt động khi NoScript được kích hoạt.
Các nhà nghiên cứu làm cho cuộc tấn công của Twitter tấn công vào Twitter có thể khiến nó dễ bị tấn công virus lan rộng.
Một cuộc tấn công Twitter mới mà họ nói có thể lan truyền virút, giống như một con sâu trên dịch vụ microblogging.