"New 0-Day Browser Exploits: Clickjacking - yea, this is bad ..." av Jeremiah Grossman & Robert "RSnake" Hansen
Föreläsningen skulle behandla en ny typ av attacker mot webläsare. Talet blev dock begränsat/spärrat av en leverantör även fast problemet inte bara är leverantörens utan drabbar "samtliga webbläsare" och program som har funktioner likt en webbläsare.
För "mer" information om ämnet Clickjacking - http://ha.ckers.org/blog/20080915/clickjacking/
Det oroande är att attacken inte är beroende av JavaScript utan det räcker med att användaren besöker angriparens sida (IFrame, XSS), vilket kan medföra att angriparen kan styra vad användaren klickar på. Denna brist tillintetgör med andra ord eventuella skydd mot XSRF.
Tyvärr finns det inte så mycket information om bristen varvid det är svårt att ge exempel på angrepp eller skyddsåtgärder.
Det föreläsarna föreslog var att temporärt använda Lynx ;-)
Prenumerera på:
Kommentarer till inlägget (Atom)
Inga kommentarer:
Skicka en kommentar