تقنية خطف سهم الماوس !

السلام عليكم ورحمة الله وبركاته

في موضوع سابق كنت قد تحدثت عن ظاهرة كانت قد انتشرت بالفايس بوك وهي انشار روابط لصفحات كثيرة بسرعة خيالية تشبه الوورم في تحركها .. وقد كانت مجرد خدع قام بها المبرمجون لاشهار صفحاتهم بسرعة كبيرة وبأقل تكلفة 
لكن تم تطوير الطريقة بعدها لتصبح وورما بالفعل هذا ما جعل الفايس بوك يقوم بتحديثاث كثيرة مؤخرا بالاضافة لسد ثغرات أخرى 


هذا فيديو بسيط كنت قد رفعته سابقا سيفهم فيه الأخوة عن ماذا أتحدث بالظبط

مؤخرا وأنا أبحث في دهاليز ال Clickjacking أثار انتباهي موضوع جديد يدخل في نفس النطاق لكن بفكرة جديدة قم بتطويرها أحد المهتمين بمجال أمن المعلوماتية وتطرير الويب .. يدعي Eddy Bordi وهي تحت اسمCursorjacking
الفكرة في الأساس تعتمد في أسلوبها أساسيات خطف النقر Clickjacking 
حيث يتم توهيم الشخص بأنه يقوم بالنقر على رابط ما .. لاكن في الحقيقة فهو ينقر على شئ آخر تم دسه له دون أن يدري 
مثلا الصورة التالية




وهذه هي حقيقة الصورة بعد التعديل على شفافية مؤشر الماوس 




الكود المسؤول عن اخفاء مؤشر الماوس

كود HTML:

<style type="text/css">[LEFT]
*   {margin:0; padding:0; border:0;}


#test {
      cursor:url("هنا لاخفاء مؤشر الماوس"),default;
   width:100%;
   height:800px;
}

#test a{
 cursor:url("هنا لاخفاء مؤشر الماوس"),default;
}

</style>[/LEFT]

وللتباعد بين مؤشر الماوس الحقيقي والمفبرك يتم اضافة &nbsp

للأستزادة هذا POC يوضح الفكرة أكثر 

كود HTML:

http://static.vulnerability.fr/n o s c r i p t -cursorjacking.html

والسلام عليكم ورحمة الله وبركاته

www.the3kira.blogspot.com : المصدر