Hansen原已計畫在9月份OWASP美國年會時就要發表，不過當時在Adobe、微軟等相關業者要求下延後公佈。過了一個多月後，他仍決定在台灣公開漏洞細節。(文/趙郁竹)

發現Clickjacking漏洞的SecTheory執行長Robert Hansen在OWASP亞洲年會詳細展示新型態攻擊手法 。

原本在9月就要被資安人員公佈的新型攻擊手法「點閱綁架」（Clickjacking），因相關業者要求而延後公佈細節。此一漏洞今天（10/28）在台灣舉辦的OWASP亞洲年會上首度被揭露，專家並警告：「目前還找不到有效的解決方法」。

今天由發現該漏洞的SecTheory執行長Robert Hansen在OWASP上以「Web 0day大威脅：Clickjacking」為題進行演說，面對本地超過一千名資安相關人員，首度公開此新型攻擊手法細節。他表示，此種攻擊利用Flash以及各家瀏覽器的漏洞，將會對Web 2.0網站造成莫大威脅。

Hansen以iGoogle為例，駭客製作了具備跨站攻擊能力的小工具（Gadget），然後在正常網頁上放一個使用者看不見的指令碼。使用者以為滑鼠點擊的是正常頁面連結，殊不知卻執行了駭客指定的動作，可能因此下載惡意小工具，但一般使用者根本不會注意到。

之所以用「點閱綁架」來形容這種攻擊，是因為駭客可以透過Javascript讓惡意指令碼跟著使用者的滑鼠走。不管使用者點什麼連結，都會變成執行駭客要求的指令。也會根據不同指令執行不同動作，例如操縱使用者的視訊、或是關掉防火牆。

這樣的漏洞和網站、瀏覽器、Adobe Flash皆有關係，Hansen原已計畫在9月份OWASP美國年會時就要發表，不過當時在Adobe、微軟等相關業者要求下延後公佈。過了一個多月後，他仍決定在台灣公開漏洞細節。

Hansen表示，目前Adobe已在Flash中進行修補，甫釋出最新版的Flash10就可以避免掉一部分的Clickjacking攻擊，包括麥克風和視訊被監控。不過他強調：「修補好的僅僅只是一部分。」加上Flash的使用者並非大部分都已更新到最新版，因此整體來看危險性仍然很高。

他更指出，除了Adobe、Firefox釋出套件修補外，其他如IE、Chrome等瀏覽器都仍有高危險性。雖然可靠網站業者重寫語法來補強，「但根本不可能」，他說。而其他瀏覽器業者似乎還沒找出完善的解決方法，包括他自己都沒有解決方案。

Clickjacking之所以會造成極大威脅，除了業者目前還找不到有效的防堵方法之外，也是因為這樣的攻擊模式可以迴避企業內部安全政策，現有的安全軟體根本抓不到。

但Hansen建議一般使用者，至少可以更新到Flash10，Firefox使用者則可安裝「NoScript」套件。雖然無法完全防堵，不過至少能降低滑鼠被綁架的機率。另外，也可直接關掉Flash、瀏覽器中的Javascript選項，但如此一來許多Web2.0網站的功能都無法使用。他開玩笑地說：「你也可以選擇把Webcam用膠帶貼起來。」但使用者根本不會這樣做，所以還是難以防範。