點擊劫持
點擊劫持(clickjacking)是一種在網頁中將惡意代碼等隱藏在看似無害的內容(如按鈕)之下,並誘使用戶點擊的手段。[1][2][3][4]該術語最早由雷米亞·格羅斯曼(Jeremiah Grossman)與羅伯特·漢森(Robert Hansen)於2008年提出。這種行為又被稱為介面偽裝(UI redressing)。
點擊劫持可以被看成是責任混淆問題(confused deputy problem)的一個實例。[5]
舉例來說,如用戶收到一封包含一段影片的電子郵件,但其中的「播放」按鈕並不會真正播放影片,而是鏈入一購物網站。這樣當用戶試圖「播放影片」時,實際是被誘騙而進入了一個購物網站。
參見
參考資料
- ^ Robert McMillan. At Adobe's request, hackers nix 'clickjacking' talk. PC World. 2008-09-17 [2008-10-08]. (原始內容存檔於2015-07-17).
- ^ Megha Dhawan. Beware, clickjackers on the prowl. India Times. 2008-09-29 [2008-10-08]. (原始內容存檔於2009-07-24).
- ^ Dan Goodin. Net game turns PC into undercover surveillance zombie. The Register. 2008-10-07 [2008-10-08]. (原始內容存檔於2018-12-04).
- ^ Fredrick Lane. Web Surfers Face Dangerous New Threat: 'Clickjacking'. newsfactor.com. 2008-10-08 [2008-10-08]. (原始內容存檔於2008-10-13).
- ^ The Confused Deputy rides again! (頁面存檔備份,存於互聯網檔案館), Tyler Close, October 2008
- ^ Giorgio Maone. Hello ClearClick, Goodbye Clickjacking. hackademix.net. 2008-10-08 [2008-10-27]. (原始內容存檔於2021-03-05).