点击劫持(ClickJacking)是一种视觉上的欺骗手段。大概有两种方式,

  • 一是攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在该页面上进行操作,此时用户将在不知情的情况下点击透明的iframe页面;
  • 二是攻击者使用一张图片覆盖在网页,遮挡网页原有位置的含义;

iframe覆盖

直接示例说明

1. 假如我们在百度有个贴吧,想偷偷让别人关注它。于是我们准备一个页面:



<!DOCTYPE HTML>

<html>

<meta http-equiv="Content-Type" content="text/html; charset=gb2312" />

<head>

<title>点击劫持</title>

<style>

     html,body,iframe{

         display: block;

          height: 100%;

          width: 100%;

          margin: 0;

          padding: 0;

          border:none;

     }

     iframe{

          opacity:0;

          filter:alpha(opacity=0);

          position:absolute;

          z-index:2;

     }

     button{

          position:absolute;

          top: 315px;

          left: 462px;

          z-index: 1;

          width: 72px;

          height: 26px;

     }

</style>

</head>

     <body>

          那些不能说的秘密

          <button>查看详情</button>

          <iframe src="http://tieba.baidu.com/f?kw=%C3%C0%C5%AE"></iframe>

     </body>

</html>








PS:页面看起来就这样,当然真正攻击的页面会精致些,不像这么简陋。


2. 网址传播出去后,用户手贱点击了查看详情后,其实就会点到关注按钮。


PS:可以把iframe透明设为0.3看下实际点到的东西。




3. 这样贴吧就多了一个粉丝了。


解决办法


使用一个HTTP头——X-Frame-Options。X-Frame-Options可以说是为了解决ClickJacking而生的,它有三个可选的值:


DENY:浏览器会拒绝当前页面加载任何frame页面;


SAMEORIGIN:frame页面的地址只能为同源域名下的页面;


ALLOW-FROM origin:允许frame加载的页面地址;


PS:浏览器支持情况:IE8+、Opera10+、Safari4+、Chrome4.1.249.1042+、Firefox3.6.9。


具体的设置方法:


Apache配置:




Header always append X-Frame-Options SAMEORIGIN




nginx配置:




add_header X-Frame-Options SAMEORIGIN;




IIS配置:




 


<system.webServer>

    ...

    <httpProtocol>

        <customHeaders>

            <add name="X-Frame-Options" value="SAMEORIGIN" />

        </customHeaders>

    </httpProtocol>

    ...

</system.webServer>


 




图片覆盖


图片覆盖攻击(Cross Site Image Overlaying),攻击者使用一张或多张图片,利用图片的style或者能够控制的CSS,将图片覆盖在网页上,形成点击劫持。当然图片本身所带的信息可能就带有欺骗的含义,这样不需要用户点击,也能达到欺骗的目的。


PS:这种攻击很容易出现在网站本身的页面。


示例


在可以输入HTML内容的地方加上一张图片,只不过将图片覆盖在指定的位置。




<a href="http://tieba.baidu.com/f?kw=%C3%C0%C5%AE">

     <img src="XXXXXX" style="position:absolute;top:90px;left:320px;" />

</a>




解决办法


在防御图片覆盖攻击时,需要检查用户提交的HTML代码中,img标签的style属性是否可能导致浮出。


总结


点击劫持算是一种很多人不大关注的攻击,他需要诱使用户与页面进行交互,实施的攻击成本更高。另外开发者可能会觉得是用户犯蠢,不重视这种攻击方式。


出处:https://www.cnblogs.com/lovesong/p/5248483.html
												


											
web安全之点击劫持的更多相关文章
	

    
						
  1. Web安全之点击劫持(ClickJacking)
		
    点击劫持(ClickJacking)是一种视觉上的欺骗手段.大概有两种方式,一是攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在该页面上进行操作,此时用户将在不知情的情况下点击透明的 ...
    
		
    2. 
								
  2. 点击劫持ClickJacking
		
    原文:https://beenle-xiaojie.github.io/2019/01/07/ClickJacking/ 引言 当我们的页面嵌入到一个iframe中时,安全测试提出一个于我而言很新鲜的 ...
    
		
    3. 
						
  3. Web应用安全之点击劫持(CLICKJACKING)与X-FRAME-OPTIONS HEADER
		
    点击劫持(clickjacking)与X-Frame-Options Header 文/玄魂 目录 前言... 1.1 点击劫持(clickjacking attacks)... 1.2  Frame ...
    
		
    4. 
						
  4. Web 漏洞分析与防御之点击劫持(三)
		
    原文地址:Web 漏洞分析与防御之点击劫持(三) 博客地址:http://www.extlight.com 一.全称 点击劫持,顾名思义,用户点击某个按钮,却触发了不是用户真正意愿的事件. 二.原理  ...
    
		
    5. 
						
  5. web安全-点击劫持
		
    web安全-点击劫持 opacity=0 iframe是目标网站 被内嵌了 1.用户亲手操作 盗取用户 视频 2.用户不知情 >* 引导点击 其实点击的是覆盖在下面opacity=0的ifram ...
    
		
    6. 
						
  6. web安全:防范点击劫持的两种方式
		
    防范点击劫持的两种方式 什么点击劫持?最常见的是恶意网站使用 <iframe> 标签把我方的一些含有重要信息类如交易的网页嵌入进去,然后把 iframe 设置透明,用定位的手段的把一些引诱 ...
    
		
    7. 
						
  7. 点击劫持(CLICKJACKING)与X-FRAME-OPTIONS HEADER
		
    转载: http://www.tuicool.com/articles/mqUBfa 目录 前言 1.1 点击劫持(clickjacking attacks) 1.2  Frame Bursters. ...
    
		
    8. 
						
  8. 点击劫持漏洞之理解 python打造一个挖掘点击劫持漏洞的脚本
		
    前言: 放假了,上个星期刚刚学习完点击劫持漏洞.没来的及写笔记,今天放学总结了一下 并写了一个检测点击劫持的脚本.点击劫持脚本说一下哈.= =原本是打算把网站源码 中的js也爬出来将一些防御的代码匹配 ...
    
		
    9. 
						
  9. 安全测试4_客户端的安全漏洞(XSS、CSRF、点击劫持、URL跳转)
		
    那个fanh前面学习的都是基础,现在开始正式学习下安全的知识,这一章主要讲解客户端常见的安全漏洞. 看到这个不错,给大家记一下: 1.常见的安全事件: 2.XSS(跨站脚本),英文全称:Cross S ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. ZK Watcher 的原理和实现
			
    什么是 ZK Watcher 基于 ZK 的应用程序的一个常见需求是需要知道 ZK 集合的状态.为了达到这个目的,一种方法是 ZK 客户端定时轮询 ZK 集合,检查系统状态是否发生了变化.然而,轮询并 ...
    
			
    2. 
						
  2. 即时聊天APP(六) - 消息的接收以及EventBus使用
			
    通常我们在接收消息的时候会有声音和震动的提示,因此我也加了代码达到这样的效果,这就要用到EventBus了,当然这里我也用到了自定义的广播,所以首先在Mainfests文件中加入以下代码: <r ...
    
			
    3. 
						
  3. git报错,远程克隆和更新不下来解决方法
			
    报错: error: RPC failed; curl 18 transfer closed with outstanding read data remainingfatal: The remote ...
    
			
    4. 
						
  4. Spark学习之RDDs介绍
			
    什么是RDDS? RDDS即Resilient distributed datasets(弹性分布式数据集). Spark中,所有计算都是通过RDDs的创建,转换,操作完成的. 一个RDD是一个不可改 ...
    
			
    5. 
						
  5. asp.net core3.0 mvc 用 autofac
			
    好久没有写文章了,最近在用.net core3.0,一些开发中问题顺便记录: 1.首先nuget引入 Autofac Autofac.Extensions.DependencyInjection 2. ...
    
			
    6. 
						
  6. 心动吗?正大光明的免费使用IntelliJ IDEA商业版
			
    IntelliJ IDEA是广受Java开发者喜爱的工具,其商业版的价格十分昂贵,如下图: 现在有机会免费获取IntelliJ IDEA的正版License,您是否心动呢?我把自己成功申请Licens ...
    
			
    7. 
						
  7. 为什么不使用SOAP进行点对点联系,而使用ESB呢
			
    图片截至: https://www.zhihu.com/question/29475224
    
			
    8. 
						
  8. freemarker模版引擎技术总结
			
    FreeMarker语言概述 FreeMarker是一个模板引擎,一个基于模板生成文本输出的通用工具,使用纯Java编写. FreeMarker被设计用来生成HTML Web页面,特别是基于MVC模式 ...
    
			
    9. 
						
  9. phaser学习总结之phaser入门教程
			
    前言 最近公司做项目的时候正好使用到phaser,在这里做一下自己整理出来的一些心得,方便大家参考,phaser这一个游戏引擎通常是做2d游戏的,入门也非常简单,只需你会一点的javascript,但 ...
    
			
    10. 
						
  10. How to setup Electrum testnet mode and get BTC test coins
			
    For some reason we need to use BTC test coins, but how to set up the Bitcoin testnet wallet and get  ...
    
			
    11.