在Adobe的要求下，Hackers Nix'clickjacking'Talk

在Adobe Systems要求他们对自己的研究结果保持沉默之后，两位安全研究人员退出了一场技术演讲，他们将演示如何利用名为“clickjacking”的在线攻击控制受害者的浏览器“

罗伯特汉森和杰里米亚格罗斯曼下周将在纽约举行的OWASP（Open Web Application Security Project）会议上发表他们的演讲。但是他们开发的概念验证代码证明了他们的点击劫持攻击行为如何揭露了Adobe产品中的一个错误。在与Adobe讨论了一周之后，研究人员上周五决定开始讲话。

虽然Hansen和Grossman认为点击劫持最终取决于互联网浏览器的设计方式，但Adobe说服他们暂缓讨论直到他们可以发布补丁。白帽安全公司的首席技术官格罗斯曼在接受采访时说：“Adobe认为他们可以采取一些措施来加大黑客攻击力度。”在点击劫持攻击中，攻击者欺骗受害者在没有意识到的情况下点击恶意Web链接。这种攻击多年前就已知，但并未被认为是特别危险的。例如，安全专家曾认为它​​可能被用于实施广告点击欺诈或者夸大Digg网页的评级。

然而，在编写概念验证代码时，Hansen和Grossman意识到clickjacking实际上更多“当我们最终建立它并获得了概念证明时，它非常讨厌，”格罗斯曼说。 “如果我控制了你点击的东西，我能做多少坏事？事实证明，你可以做很多非常非常糟糕的事情。”

咨询公司SecTheory的首席执行官格罗斯曼和汉森都不愿意详细说明他们的攻击。然而，OWASP会议组织者Tom Brennan表示，他已经看到了攻击代码的演示，并且它允许攻击者完全控制受害者的桌面。研究人员说，他们没有被Adobe压制，放弃他们的谈话。汉森周一在他的博客上写道：“这不是一个邪恶的'这个人正在试图阻止我们黑客'的情况。”

星期一晚些时候，Adobe发布了一条说明，感谢研究人员保持隐私，并指出公司正在努力修补这个问题

OWASP的Brennan表示，即使揭露该bug可能会帮助攻击者，研究人员仍然应该继续前进并发表讲话，以便IT专业人员有机会了解威胁的真实性质。他说：“浏览器中存在一个零日问题，正在影响当今数百万人。” “当一个人讨论它时，它会让每个人都在同一个游戏场上。”

Hansen和Grossman说他们也期望微软在Internet Explorer中修补一个相关的bug，并且许多其他浏览器也受到点击劫持问题的影响。 “我们认为这或多或少是浏览器安全问题，”格罗斯曼说，“