Med buller och bång valde RSnake och Jeremiah Grossman att dra tillbaka sitt speech om clickjacking på OWASP-konferensen i NYC häromsistens. Nu har de dock ändå gått ut med detaljerna på denna exploit som det varit väldigt mycket rykten om – och väldigt många gissningar.Pdp på GNUZITIZEN gissade helt rätt att man kan använda det till att ändra settings i flash så att en attackerare kan avlyssna via mikrofonen och titta genom webkameran. Häftiga grejer – och det känns som att en ny term nu har blivit förankrad som samlar en hoper problem som tidigare varit ganska spritt.

Kortfattat om clickjacking är det att man på olika sätt får användaren att klicka på saker han inte alls hade för avsikt att klicka på, det handlar både om tekniker att göra detta (t ex osynliga divs) och vad man kan göra med det (t ex ändra settings i flash).

Apropå förankrade termer, Bruce Schneier skrev om CSRF härom veckan – jag som trodde att det var såpass känt att det förlorat sin förmåga få folk att lyfta på ögonbrynen – men icke!

Whitepaper om clickjacking kommer först att släppas via organisationen Hackers For Charity och publikt först en vecka senare. Helt underbar ide, hoppas att sådana initiativ sprider sig ännu mer!

This entry was posted on Wednesday, October 8th, 2008 at 7:10 am and is filed under Uncategorized. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.