新的“DoubleClickjacking”漏洞可绕过网站的劫持保护

安全专家揭示了一种新型的漏洞“普遍存在的基于时间的漏洞” ，该漏洞通过利用双击操作来推动点击劫持攻击及账户接管 ，可绕几乎波及所有大型网站 。过网这一技术已被安全研究员Paulos Yibelo命名为“DoubleClickjacking” 
。劫持

Yibelo指出：“它并非依赖单一点击，保护而是漏洞利用双击的序列
。这看似微小的可绕变化 ，却为新的过网UI操控攻击敞开了大门，免费模板能够绕过所有现有的劫持点击劫持防护措施，包括X-Frame-Options头部或SameSite: Lax/Strict cookie
。保护”

点击劫持 ，漏洞亦称作UI重定向 ，可绕是过网一种攻击手段 ，诱使用户点击看似无害的劫持网页元素（如按钮）
，进而导致恶意软件的保护安装或敏感信息的泄露。DoubleClickjacking作为这一领域的变种
 ，模板下载它利用点击开始与第二次点击结束之间的时间差来规避安全控制，以最小的用户交互实现账户接管。

具体步骤如下：

Yibelo表示：“大多数Web应用程序和框架都认为只有单次强制点击存在风险 。DoubleClickjacking引入了一层许多防御措施从未考虑过的内容。像X-Frame-Options 、SameSite cookie或CSP这样的方法无法抵御这种攻击 。源码库”

网站所有者可通过客户端手段消除这类漏洞，默认禁用关键按钮，仅在检测到鼠标手势或按键时激活。研究发现
，诸如Dropbox等服务已经实施了此类预防措施。作为长远解决方案 ，建议浏览器供应商采纳类似X-Frame-Options的新标准来防御双击利用。

Yibelo强调：“DoubleClickjacking是一种众所周知的攻击类别的变种。通过利用点击之间的事件时间差 ，高防服务器攻击者能够在瞬间无缝地将良性UI元素替换为敏感元素。”

此次披露距离研究人员展示另一种点击劫持变体（即跨窗口伪造 ，亦称作手势劫持）已近一年，该变体依赖于说服受害者在攻击者控制的网站上按下或按住Enter键或空格键以启动恶意操作。

在Coinbase和Yahoo!等网站上 ，如果已登录任一网站的受害者访问攻击者网站并按住Enter/空格键，则可能被利用来实现账户接管 。

“这是因为这两个网站都允许潜在攻击者创建具有广泛权限范围的OAuth应用程序以访问其API，并且它们都为用于授权应用程序进入受害者账户的‘允许/授权’按钮设置了静态和/或可预测的香港云服务器‘ID’值
。”

参考来源 ：https://thehackernews.com/2025/01/new-doubleclickjacking-exploit-bypasses.html

最新评论