小心點擊劫持

在2008年早些時候被曝光的Adobe Flash Player漏洞當中，惡意者可以通過點擊劫持使攻擊者在用戶完全不知情的情況下打開用戶接在電腦上的網絡攝像頭和麥克風，從而對用戶實施窺探行為。

點擊劫持并非一個新鮮的網絡安全問題，之所以在最近一段時間又再次被人頻頻提起，是因為Adobe Flash Player軟件的一個漏洞。事實上，因為目前越來越多的網站開始全面使用flash作為其內容的承載模式，因此Adobe Flash Player上的這個漏洞引起了相當多用戶的重視。

點擊劫持從何而來

點擊劫持，顧名思義就是將用戶點擊A鏈接的行為惡意地轉向到B鏈接。點擊劫持主要是利用了網頁顯示時的虛擬深度，利用代碼嵌入到被訪問的網頁中，從而改變網頁響應用戶點擊的方式。

點擊劫持最大的危害是將用戶的點擊重新定位到特定的惡意網站，使用戶在不知不覺中訪問惡意網站從而“中招”，少則電腦遭到惡意軟件的騷擾，多則各類用戶密碼被泄露。點擊劫持經常被用于偽造銀行網站。不明真相的用戶在遭到點擊劫持后，被重定向到偽造的銀行網站，而用戶在訪問時是得不到任何提示的。用戶在偽造的銀行網站上登陸進“帳戶”，并且進行了一些對“帳戶”的操作，這時用戶的信息就會在不知不覺中泄露。

點擊劫持的另一個危險在于可以使用戶在不知不覺中運行安置在網頁上的惡意軟件、代碼甚至ActiveX控件。在2008年早些時候被曝光的Adobe Flash Player漏洞當中，惡意者可以通過點擊劫持使攻擊者在用戶完全不知情的情況下打開用戶接在電腦上的網絡攝像頭和麥克風，從而對用戶實施窺探行為。

點擊劫持的危害如此之大，更危險的是目前Adobe Flash Player的漏洞可以讓點擊劫持有機可乘。而目前98%以上接觸互聯網的電腦都在使用Adobe Flash Player播放器，同時超過80%的在線視頻在使用Adobe相關的技術。

防堵結合

在點擊劫持可以利用Adobe Flash Player漏洞的消息傳出后，Adobe在2008年11月16日迅速發布了新版本的Flash播放器—Adobe Flash Player 10。Adobe Flash Player 10修復了瀏覽者訪問網站中的數個安全漏洞，其中就包括點擊劫持漏洞。所幸的是，目前點擊劫持漏洞還沒有被大范圍地用來進行攻擊。

不過，即使Adobe補上了Adobe Flash Player的漏洞，點擊劫持還是可以通過網絡瀏覽器危害到用戶的使用安全。目前包括IE、Firefox等瀏覽器依然存在安全隱患。

點擊劫持也可以通過惡意的內嵌框架(iframe)來實現。所謂內嵌框架，就是在同一個頁面里有多個網頁，框架網頁內容的源頭則可能存在惡意代碼造成點擊劫持。而對于大多數用戶來說，內嵌框架的點擊劫持是不能簡單通過完全屏蔽來解決的，更好的辦法是安全隔離這部分內嵌框架，使其成為獨立于網頁主體內容之外的內容。

根據已經公布的消息顯示，目前谷歌Chrome瀏覽器已經讓不同的瀏覽器標簽運行在不同的進程，而微軟的下一代瀏覽器IE8也會使用類似的技術，這樣將大大降低點擊劫持的安全隱患。而Firefox則可以使用一個名為No Script的插件，該插件能夠辨別所有運行在頁面上的腳本，可以用來有效阻擋潛在的點擊劫持的嘗試，不過這款插件的使用比較繁雜，不太適合普通用戶使用。