要了解此手法,看文章不易了解,用試的比較有feel;
下面網站是很好的測試(無危險,並感謝作者同意引用):
http://malwareguru.com/malware/Clickjacking-001/index.html
簡單的說,就是點下去的網址、可任意的被竄改目的地;
例如改到釣魚網站、惡意程式、色情網站等。
去年底,Clickjacking已有被批露;但半年過去了,似乎仍無法有效避免此攻擊:
新攻擊:綁架Click執行惡意程式 (iThome,2008/10/28)
Clickjacking:綁架你的網頁點閱 (ZDNet,2009/5/25)
不過,在原Blog及作者後續的文章,已提供暫時的解決之道:
原始文章:模擬實戰點閱綁架手法 (Challenge to Clickjacking)
解決之道:破解點閱綁架手法 (Crack Clickjacking)
半年過去了,但此風險仍然存在;而各種應變之道,又有點麻煩。
所謂所見及所得(WYSIWYG),但在此問題有更方便的解決方案之前,
對於網址的正確與否,應更需要小心謹慎。
Alvin 