点击劫持攻击的一种新变体称为“DoubleClickjacking”，攻击者可以诱骗用户使用双击授权敏感操作，同时绕过针对此类攻击的现有保护措施。

点击劫持，是指威胁者创建恶意网页，诱骗访问者点击隐藏或伪装的网页元素。这些攻击的工作原理是将隐藏 iframe 中的合法网页覆盖在攻击者创建的网页上。这个攻击者创建的网页旨在将其按钮和链接与隐藏 iframe 上的链接和按钮对齐。

然后，攻击者使用他们的网页来诱使用户单击链接或按钮，例如赢得奖励或查看某些图片。但是，当他们单击页面时，实际上是在单击隐藏 iframe（合法网站）上的链接和按钮，这可能会执行恶意操作，例如授权 OAuth 应用程序连接到其帐户或接受 MFA 请求。

多年来，网络浏览器开发人员引入了新功能来阻止大多数此类攻击，例如不允许跨站点发送 cookie 或引入关于站点是否可以构建 iframe 的安全限制（X-Frame-Options 或框架祖先）。

新的 DoubleClickjacking 攻击

网络安全专家 Paulos Yibelo 推出了一种名为 DoubleClickjacking 的新网络攻击，该攻击利用鼠标双击来诱骗用户在网站上执行敏感操作。

在这种攻击场景中，威胁者将创建一个网站，其中显示一个看似无害的带有诱惑的按钮，例如“单击此处”查看奖励或观看电影。当访问者单击该按钮时，将创建一个新窗口，覆盖原始页面并包含另一个诱惑，例如必须解决验证码才能继续。

在后台，原始页面上的 JavaScript 会将该页面更改为攻击者想要诱骗用户执行操作的合法站点。新的重叠窗口上的验证码会提示访问者双击页面上的某些内容来解决验证码问题。但是，此页面会侦听 mousedown 事件，并在检测到时快速关闭验证码覆盖层，从而导致第二次单击落在之前隐藏的合法页面上现在显示的授权按钮或链接上。

这会导致用户错误地单击公开的按钮，从而可能授权安装插件、OAuth 应用程序连接到其帐户或确认多重身份验证提示。

DoubleClick劫持攻击流程

之所以如此危险，是因为它绕过了所有当前的点击劫持防御，因为它不使用 iframe，也不会尝试将 cookie 传递到另一个域。相反，这些操作直接发生在不受保护的合法网站上。

Yibelo 表示，这种攻击几乎影响了所有网站，并分享了利用 DoubleClickjacking 接管 Shopify、Slack 和 Salesforce 帐户的演示视频。

研究人员还说，这种攻击不仅限于网页，还可以用于浏览器扩展。“例如，我已经对顶级浏览器加密钱包进行了概念验证，这些钱包使用这种技术来授权 web3 交易和 dApp 或禁用 VPN 来暴露 IP 等，”Yibelo 解释道。

这也可以在手机中通过要求目标‘DoubleTap’来完成。为了防止此类攻击，安全研究员共享了 JavaScript，可以将其添加到网页中以禁用敏感按钮，直到有所反应为止。这将防止双击在删除攻击者的覆盖层时自动点击授权按钮。

除此之外，研究人员还提出了一个潜在的 HTTP 标头，该标头可以限制或阻止双击序列期间窗口之间的快速上下文切换。

参考及来源：https://www.bleepingcomputer.com/news/security/new-doubleclickjacking-attack-exploits-double-clicks-to-hijack-accounts/