图片覆盖攻击

于 2024-06-23 16:28:01 发布
阅读量377 收藏 2
点赞数 14
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/A526847/article/details/139902117
版权

点击劫持的本质是一种视觉欺骗。顺着这个思路,还有一些攻击方法也可以起到类似的作 用,比如图片覆盖。

一名叫 sven.vetsch 的安全研究者最先提出了这种 Cross Site Image Overlaying 攻击,简称 XSIO。sven.vetsch 通过调整图片的 style 使得图片能够覆盖在他所指定的任意位置。

<a href="http://disenchant.ch"> 
<img src=http://disenchant.ch/powered.jpg 
style=position:absolute;right:320px;top:90px;/> 
</a>

如下所示,覆盖前的页面是:

覆盖后的页面变成:

页面里的 logo 图片被覆盖了,并指向了 sven.vetsch 的网站。如果用户此时再去点击 logo 图片,则会被链接到 sven.vetsch 的网站。如果这是一个钓鱼网站的话,用户很可能会上当。

XSIO 不同于 XSS,它利用的是图片的 style,或者能够控制 CSS。如果应用没有限制 style 的 position 为 absolute 的话,图片就可以覆盖到页面上的任意位置,形成点击劫持。

百度空间也曾经出现过这个问题1 ,构造代码如下:

一张头像图片被覆盖到 logo 处:

点击此图片的话,会被链接到其他网站。

图片还可以伪装得像一个正常的链接、按钮;或者在图片中构造一些文字,覆盖在关键的 位置,就有可能完全改变页面中想表达的意思,在这种情况下,不需要用户点击,也能达到欺 骗的目的。

比如,利用 XSIO 修改页面中的联系电话,可能会导致很多用户上当。

由于标签在很多系统中是对用户开放的,因此在现实中有非常多的站点存在被 XSIO 攻击的可能。在防御 XSIO 时,需要检查用户提交的 HTML 代码中,标签的 style 属性是 否可能导致浮出。

亿林数据
关注
  • 14
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
图片恢复工具
04-22
然而,由于各种原因,如意外删除、存储卡损坏、格式化或病毒攻击,这些宝贵的图片可能会丢失。"图片恢复工具"就是为了解决这类问题而设计的软件,它能够帮助用户从受损的存储设备中恢复丢失的图片。 1. 图片恢复...
网络安全:图片隐藏攻击
垃圾管理员的垃圾站
06-13 3477
我们知道网络无时无刻不在受着威胁。当一些恶意脚本被上传到服务器上时,网站就会面临被侵入的威胁。然而上传恶意脚本并不容易,因为文本形式的东西,我们很好设置过滤条件,把认为有威胁的文本过滤掉,不让它上传到服务器上,这样就能有效的避免很多不必要的麻烦。 举个例子,看眼前。 我写了这篇文章,编辑,保存,发布。这篇文章就被保存进了CSDN的数据库里。当你们想查看这篇文,去请求服务器时,...
图像鲁棒性--常见14种图像攻击matlab实现
qq_44111805的博客
10-29 6141
由于数据库的图像大小不同,在Holidays数据库中的平移距离分别为是(80,50)、(160,100)和(320,200)。ImageNet数据库中的平移距离为分别为(16,10),(32,20)、(40,25)。质量因子Q分别为10%、30%、50%、70%、90%。窗口大小分别为3 × 3、5 × 5和7 × 7。窗口大小分别为3 × 3、5 × 5和7 × 7。窗口大小分别为3 × 3、5 × 5和7 × 7。缩放比例分别为0.3、0.5、0.75、1.5和3。( n )伽马校正系数为0.8。
6种Web安全常见的攻防姿势
最新发布
2201_75857869的博客
03-09 1054
XSS攻击的本质就是,利用一切手段在目标用户的浏览器中执行攻击脚本。
python黑客攻防(三)图片文件攻击
qq_43681532的博客
07-08 1825
注:本教程仅供学习交流,未经允许禁止转载。请勿用于非法用途,后果自负。大神勿喷。喜欢的小伙伴可以关注我的微信公众号:黑客帮。 前言: 本篇文章参考自《Python黑客攻防入门》,演示向一张位图(bmp后缀的图片文件)注入JavaScript脚本。 教程: 准备一张“.bmp”后缀的图片文件,可网上下载,也可自己创建。这里我用画图创建了一张,放在D盘,用010Editor编辑器打开,(010Editor编辑器可自行百度下载)可以看到图片的16进制数。42 和 4D分别对应B,M;这就是用于识别位图的“魔数”。
白帽子讲web安全笔记
LYX_WIN
05-12 533
一、Secure By Default原则 1、黑名单和白名单 比如,在制定防火墙的网络访问控制策略时,如果网站只提供 Web 服务,那么正确的做法 是只允许网站服务器的 80 和 443 端口对外提供服务,屏蔽除此之外的其他端口。这是一种“白 名单”的做法;如果使用“黑名单”,则可能会出现问题。假设黑名单的策略是:不允许 SSH 端口对 Internet 开放,那么就要审计 SSH 的默认端口:22 端口是否开放了 Internet。但在实际 工作过程中,经常会发现有的工程师为了偷懒或图方便,私自改变
图片上传预览剪裁
11-03
- **CSS3的object-fit属性**:用于控制图片在容器中的填充方式,如`contain`保持宽高比填充,`cover`覆盖整个容器,确保图片完全展示。 3. 图片剪裁: - **Cropper.js等前端库**:例如Cropper.js,是一个强大的...
PHP CKEditor 上传图片实现代码
12-18
需要注意的是,此代码示例中并没有涵盖必要的安全性措施,例如防止文件覆盖、文件名注入攻击以及恶意文件类型检测。在实际部署中,必须对上传功能进行充分的安全加固,例如: 1. 检查文件扩展名,确保它们只包含...
基于cropperJS图片上传
02-28
5. **安全考虑**:在处理用户上传的图片时,需要注意防止恶意文件注入,例如检查文件类型和大小,使用安全的文件命名策略,避免路径遍历攻击等。 综上所述,`cropperJS`结合PHP提供了一套完善的图片上传解决方案,...
QQ空间上传图片
04-24
在IT行业中,实现类似QQ空间上传图片的功能是一项常见的需求,特别是在社交媒体、个人博客...需要注意的是,实际项目中还需考虑安全问题,比如防止XSS攻击、CSRF攻击等,以及优化性能,比如使用分块上传大文件等技术。
php 图片中的恶意代码,图片攻击-BMP图片中注入恶意JS代码 <转载>
weixin_33462804的博客
03-27 980
昨天看到一篇文章《hacking throung images》,里面介绍了如何在BMP格式的图片里注入JS代码,使得BMP图片既可以正常显示, 也可以运行其中的JS代码,觉得相当有趣。 执行JS注入的脚本 关键:构造符合正常BMP格式的图片 步骤 1. 将原BMP文件的第三,第四字节替换为\x2F\x2A, 对应js中的注释符号/* BMP文件的第三、四、五、六字节表示BMP文件的大小 2. 在...
点击劫持和图片覆盖劫持
交换一个思想,能得到俩思想
09-24 4043
点击劫持是一种视觉上的欺骗手段。攻击者使用一个透明的、不可见的iframe,覆盖在一 个网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe 页面上的某个按钮或者链接。通过调整iframe 页面的位置,可以诱使用户恰好点击在iframe 页面的一些功能性按钮上。 CLICK JACK!!! iframe { width: 900px; heig
图像分类的十二种攻击方法
qq_18824345的博客
11-10 3245
最近想参加天池一个安全AI的比赛,所以研究一下对抗攻击的内容,求组队呜呜呜。。 以下的总结来参考论文《Threat of Adversarial Attacks on Deep Learning in Computer Vision: A Survey》 这是我看的第一篇对抗攻击类的文章,很多地方没弄懂,先根据论文粗略大概总结一下,不好的地方请指出。 1.盒子约束 L-BFGS Szegedy等人...
Python图片攻击
深度学习领域优质创作者,CSDN博客专家
03-21 419
BMP图片使用十六进制文本编辑器打开,前面两个字母是BM,代表的是图片格式,基本上浏览器就是以这个来识别BMP图片,我们把这个后面的数据(图片二进制数据)全部注释,在其后面追加我们的攻击脚本即可 # -*- coding: cp936 -*- img='1.bmp' pfile=open(img,"rb") buff=pfile.read() #替换掉/*符号 buff=buff.repla...
jpg图片攻击测试代码
青天诀的专栏
04-26 2619
matlab代码如下:close all; clear all; clc; % key=1; %key 用来设置需要压缩的比例 %读入原始图像original string,os 原始图像字符串 [filename pathname]=uigetfile('*.bmp;*.jpg;*.tif', '原图像.jpg'); os=[pathname filename]; o=imread(os); %读
中间人攻击替换图片
时光途径
04-15 3780
一:先准备一张图片 恩恩!低调点好! 我们将图片放大kali的var/www/html目录下 二:启动Apache servce apache2 start 三:编写攻击脚本 if (ip.proto == TCP && tcp.dst == 80) { if (search(DATA.data, "Accept-Encoding")) {...
网络安全(2) -- 关于一次XSS攻击-图片(img标签)的onerror事件
热门推荐
TaneRoom的博客
11-08 2万+
记一次XSS实战攻击
快速边界攻击的黑盒对抗样本生成策略
同时,面上搜索采用自适应调节搜索半径的随机搜索,能够在保证搜索深度的同时增加搜索的覆盖范围,从而提高找到有效对抗样本的概率。 实验部分,研究者使用5组不同的图片进行了验证,证明了所提方法的有效性。这些...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值