Web安全之点击劫持(ClickJacking)
目录
iframe覆盖
直接示例说明
解决办法
Apache配置:
nginx配置:
IIS配置:
图片覆盖
示例
解决办法
总结
点击劫持(ClickJacking)是一种视觉上的欺骗手段。大概有两种方式,一是攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在该页面上进行操作,此时用户将在不知情的情况下点击透明的iframe页面;二是攻击者使用一张图片覆盖在网页,遮挡网页原有位置的含义;
iframe覆盖
直接示例说明
1. 假如我们在百度有个贴吧,想偷偷让别人关注它。于是我们准备一个页面:
<!DOCTYPE HTML>
<html>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312" />
<head>
<title>点击劫持</title>
<style>html,body,iframe{display: block;height: 100%;width: 100%;margin: 0;padding: 0;border:none;}iframe{opacity:0;filter:alpha(opacity=0);position:absolute;z-index:2;}button{position:absolute;top: 315px;left: 462px;z-index: 1;width: 72px;height: 26px;}
</style>
</head><body>那些不能说的秘密<button>查看详情</button><iframe src="http://tieba.baidu.com/f?kw=%C3%C0%C5%AE"></iframe></body>
</html>
PS:页面看起来就这样,当然真正攻击的页面会精致些,不像这么简陋。
2. 网址传播出去后,用户手贱点击了查看详情后,其实就会点到关注按钮。
PS:可以把iframe透明设为0.3看下实际点到的东西。
3. 这样贴吧就多了一个粉丝了。
解决办法
使用一个HTTP头——X-Frame-Options。X-Frame-Options可以说是为了解决ClickJacking而生的,它有三个可选的值:
DENY:浏览器会拒绝当前页面加载任何frame页面;
SAMEORIGIN:frame页面的地址只能为同源域名下的页面;
ALLOW-FROM origin:允许frame加载的页面地址;
PS:浏览器支持情况:IE8+、Opera10+、Safari4+、Chrome4.1.249.1042+、Firefox3.6.9。
具体的设置方法:
Apache配置:
Header always append X-Frame-Options SAMEORIGIN
nginx配置:
add_header X-Frame-Options SAMEORIGIN;
IIS配置:
<system.webServer>...<httpProtocol><customHeaders><add name="X-Frame-Options" value="SAMEORIGIN" /></customHeaders></httpProtocol>...
</system.webServer>
图片覆盖
图片覆盖攻击(Cross Site Image Overlaying),攻击者使用一张或多张图片,利用图片的style或者能够控制的CSS,将图片覆盖在网页上,形成点击劫持。当然图片本身所带的信息可能就带有欺骗的含义,这样不需要用户点击,也能达到欺骗的目的。
PS:这种攻击很容易出现在网站本身的页面。
示例
在可以输入HTML内容的地方加上一张图片,只不过将图片覆盖在指定的位置。
<a href="http://tieba.baidu.com/f?kw=%C3%C0%C5%AE"><img src="XXXXXX" style="position:absolute;top:90px;left:320px;" />
</a>
解决办法
在防御图片覆盖攻击时,需要检查用户提交的HTML代码中,img标签的style属性是否可能导致浮出。
总结
点击劫持算是一种很多人不大关注的攻击,他需要诱使用户与页面进行交互,实施的攻击成本更高。另外开发者可能会觉得是用户犯蠢,不重视这种攻击方式。
Web安全之点击劫持(ClickJacking)相关推荐
- Web安全之点击劫持
Web安全之点击劫持文章,原文链接:http://www.cnblogs.com/lovesong/p/5248483.html Web安全之点击劫持(ClickJacking) 点击劫持(Click ...
- 点击劫持ClickJacking
原文:https://beenle-xiaojie.github.io/2019/01/07/ClickJacking/ 引言 当我们的页面嵌入到一个iframe中时,安全测试提出一个于我而言很新鲜的 ...
- web安全之点击劫持攻击(clickjack)
点击劫持clickjack 点击劫持 (Clickjacking) 技术又称为界面伪装攻击 (UI redress attack ),是一种视觉上的欺骗手段.攻击者使用一个或多个透明的 iframe ...
- 【Web安全】点击劫持 Click Jacking
1.什么是点击劫持 点击劫持是一种视觉上的欺骗手段.攻击者用一个透明的.不可见的iframe,覆盖在一个网页上,诱使用户在该网页上进行操作,使用户在不知情的情况下点击透明的iframe页面.通过调整i ...
- WEB安全基础-点击劫持漏洞基础
点击劫持漏洞 点击劫持:一个其他的网站,用iframe标签,<iframe src="http://xxx.xxx.xxx"></ifame> <st ...
- web 点击劫持 X-Frame-Options
原理解释 点击劫持,clickjacking,也被称为UI-覆盖攻击.这个词首次出现在2008年,是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼首创的. 它是通过覆盖不可见的框架误导受害者点击. 虽 ...
- html 设置响应X-frame,X-Frame-Options(点击劫持)漏洞分析及web配置修复
漏洞描述: 点击劫持(ClickJacking)是一种视觉上的欺骗手段.攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在网页上进行操作,此时用户将在不知情的情况下点击透明的ifram ...
- X-Frame-Options响应头防点击劫持
文章目录 前言 点击劫持 恶意转账 刷点击量 防护手段 HTTP响应头 实际防护效果 漏洞的检测 HTTP标题 X-XSS-Protection 前言 在一些漏扫设备中经常会扫出一个低风险问题--&q ...
- 《白帽子讲web安全》第5章 点击劫持(ClickJacking)
一.ClickJacking简介 点击劫持(ClickJacking):是一种视觉上的欺骗手段,攻击者使用一个透明的.不可见的iframe覆盖在网页上,并诱使用户在该网页上进行操作.(用户在不知情的情 ...
最新文章
- Spoken English(021)
- 150. Leetcode 860. 柠檬水找零 (贪心算法-基础题目)
- vue数组对象双向绑定
- servlet mysql 分页_Java基础94 分页查询(以MySQL数据库为例,Servlet技术)
- 二、十进制数字快速转换为16进制字符
- Android 系统广播
- 23种设计模式(三)组件协作之策略模式
- 华为提出 New IP,欲打破长达半世纪的IP协议重塑互联网
- ExtJs视频教程下载地址
- 精益标准工时软件VIOOVI:没有标准工时,别谈精益改善!
- android原生桌面,谷歌官方出品的安卓原生桌面App 轻松干掉你手机上臃肿的的桌面!...
- 大数据是什么?大数据的定义?
- 机顶盒系统升级服务器地址,tvbox
- 【二】网络空间安全综述
- 红旗linux6桌面版系统安装,红旗Linux6.0桌面正式版光盘安装{图解教程}
- q7固件 数码视讯_数码视讯Q7的刷机
- [Windows] 获取设备唯一标识
- 2018-ACM省赛
- python网格划分_五、网格划分篇-SnappyHexMesh(之二)
- 软件开发委托(单位)协议
热门文章
- 内蒙古农大孙志宏教授证实超深度混合宏基因组测序能够对人类肠道微生物组中的低丰度物种进行基因组和功能表征...
- NAR:脑疾病研究的“金牌助手”:BrainBase
- 视频:PNAS报道纤维化扩展中“旁张力信号”介导的细胞间机械通讯
- pd17虚拟机启动器怎么生成?快来看看吧
- Ps胶片颗粒效果插件:Imagenomic Realgrain for Mac
- java定时器克隆方式,Java-DropWizard指标计量器与计时器
- 1.9 编程基础之顺序查找 09 直方图 9分 python
- 免费开源的thinkphp办公管理系统
- c语言第一章节测试,计算机二级C语言教程章节测试:字符串
- 基于Matlab的LDPC码性能研究毕业设计(含源文件)