همکاران سیستم- بنا به اعلام کارشناسان امنیتی، شیوه جدیدی از حملات اینترنتی موسوم به clickjacking شناسایی شده که کاربران اکثر مرورگرهای مشهور را در معرض خطر قرار می دهد.


جزئیات زیادی از این متد ارائه نشده است زیرا کارشناسان تصمیم گرفته اند تا زمانی که حداقل یک شرکت، برای حل این مشکل کاری از پیش نبرد، جزئیات آن را فاش نسازند.

به گزارش Computerworld اگرچه Clickjacking ماهیتی دارد که کاربران مرورگرهایی همچون اینترنت اکسپلورر، فایرفاکس، اپرا، سافاری، کروم گوگل و ... را تهدید می کند، اما موضوع مهم تر و خطرناک تر از این حرفهاست.


Robert Hansen مدیر عامل شرکت SecTheory، یکی از دو پژوهشگری است که روز چهارشنبه، در OWASP AppSec 2008 این باگ را تشریح کرده است.


وی می گوید که هرچند clickjacking چیزی شبیه متد حمله CSRF یا sidejacking است اما clickjacking تفاوت هایی با اینها دارد که باعث می شود ابزار امنیتی anti-CSRF که در مرورگرها، سایت ها و Web application ها تعبیه شده، قادر به ردگیری آن نباشند.


Hansen افزود: مشکل این است که بسیاری از مردمی که زمان زیادی صرف محافظت خود از cross-site request forgery (CSRF) می کنند، تاکنون با چنین چیزی برخورد نکرده اند. Clickjacking شیوه کار کاملاً متفاوتی دارد. در این متد هکرها می توانند کاربران را به کلیک بر دکمه ها وادارند در حالی که تشویق آنان به کلیک بر دکمه، در جاوا اسکریپت ممکن نیست.


مدیر عامل شرکت SecTheory تاکید کرد که هکرها برای عملیاتی کردن Clickjacking، نیازی ندارند که به یک سایت معتبر و قانونی رخنه کنند.


از سوی دیگر Jeremiah Grossman رئیس فناوری سازمان WhiteHat Security که شریک Hansen در این تحقیق است، روز جمعه با ارسال ایمیلی، نحوه استفاده نفوذگران از آسیب پذیری های Clickjacking را توضیح داد.