web漏洞-点击劫持:X-Frame-Options未设置-低危

最新推荐文章于 2024-08-09 14:00:00 发布
最新推荐文章于 2024-08-09 14:00:00 发布
阅读量2.7k 收藏 5
点赞数
分类专栏: 复现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Amdy_amdy/article/details/97375820
版权
点击劫持是利用透明iframe欺骗用户点击的攻击手段。X-Frame-Options响应头可防止此类攻击,通过DENY、SAMEORIGIN或ALLOW-FROM配置阻止页面被非法嵌入。解决办法包括在Web服务器配置中添加响应头或在代码中添加头文件,如PHP。验证方式包括抓包检查和iframe嵌入测试。
摘要由CSDN通过智能技术生成

漏洞描述:

点击劫持(ClickJacking)是一种视觉上的欺骗手段。攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。

HTTP 响应头信息中的X-Frame-Options,可以指示浏览器是否应该加载一个 iframe 中的页面。如果服务器响应头信息中没有X-Frame-Options,则该网站存在ClickJacking攻击风险。网站可以通过设置 X-Frame-Options 阻止站点内的页面被其他页面嵌入从而防止点击劫持。

解决办法:

1、修改web服务器配置,添加X-Frame-Options响应头。

赋值有如下三种: 

DENY:不能被嵌入到任何iframe或者frame中。

SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中。 

ALLOW-FROM uri:只能被嵌入到指定域名的框架中。

IIS:

  • 配置 IIS 发送 X-Frame-Options 响应头,添加下面的配置到 Web.config 文件中:

<system.webServer>

...


<httpProtocol>

<customHeaders>

<add name="X-Frame-Options" value="SAMEORIGIN" />

</customHeaders>

</httpProtoco
最低0.47元/天 解锁文章
cacheyu
关注
专栏目录
点击劫持:X-Frame-Options 配置
内心不种满鲜花就会长满杂草
10-12 2503
Clickjacking(点击劫持)是一种安全漏洞,通常出现在网站配置适当的安全标头时,该漏洞由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼在2008年提出的。当网站配置X-Frame-Options头时,它可能受到点击劫持攻击的威胁。这意味着攻击者可以在其恶意网站中将目标网站嵌套到iframe中,并引导用户执行经授权的操作,使用户不知情地与目标网站互动。
X-Frame-Options设置 防止网页被iframe内框架调用
09-30
有时候为了防止网页被别人的网站iFrame,我们可以通过在服务器设置HTTP头部中的X-Frame-Options信息,需要的朋友可以参考下
网站常见漏洞(二)
最新发布
we_solo的博客
08-09 815
(超文本传输)协议定义的一种协议调试方法,该方法使得服务器原样返回任何客户端请求的内容(可能会附加路由中间的代理服务器的信息),由于该方法原样返回客户端提交的任意数据,因此,可用来进行跨站脚本(即使网站对关键页面启用了HttpOnly头标记,攻击者也可以通过TRACE方法绕过进行XSS攻击,盗取会话cookie、获取账户、模拟其他用户身份,甚至可以修改网页呈现给其他用户的内容。,覆盖在一个网页上,然后诱使用户在该页面上进行操作,此时用户将在不知情的情况下点击透明的。)攻击,这种攻击方式又称为跨站跟踪攻击(
点击劫持:X-Frame-Options正确配置
linhl_sdysit的博客
12-17 1284
X-Frame-Options正确配置 描述 点击劫持,clickjacking,也被称为UI-覆盖攻击,是一种视觉上的欺骗手段。攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在该页面上进行操作,此时用户将在不知情的情况下点击透明的iframe页面,执行攻击者预先设定的操作,达到劫持用户操作目的 分析 方案 HTTP协议中定义了响应头X-Frame-Options,该响应头表示是否可以加载一个iframe 中的页面。如果服务器响应头信息中 没有X-Frame-Options或者配置为X-
点击劫持:X-Frame-Options配置、nginx配置X-Frame-Options响应头
更多内容查看博客描述。
04-26 2544
add_header X-Frame-Options SAMEORIGIN 加入到服务器配置文件的'http'或者'server'中即可。看到x-frame-options这一项代表设置成功。nginx配置X-Frame-Options响应头。打开谷歌浏览器,输入你自己网站的地址。在nginx.conf配置文件中,
点击劫持:X-Frame-Options配置
yztezhl的专栏
12-12 2319
X-Frame-Options配置 可以配置的参数有三个: 1.DENY:浏览器拒绝当前页面加载任何Frame页面。 2.SAMEORIGIN:页面只能加载入同源域名下的页面。 3.ALLOW-FROM uri:只能被嵌入到指定域名的框架中。 一般选第二个参数就可以了。 方式一:每个页面添加设置: <% response.addHeader("x-frame-options","SAM...
X-Frame-Options配置
热门推荐
-JackoChan
08-23 2万+
因为最近项目需要接入数据统计,其中一项功能需要开启iframe形式来加载页面,所以就开始研究一下iframe如何配置~~~ X-Frame-Options: 他的值有三个: (1)DENY (2)SAMEORIGIN (3)ALLOW-FROM https://example.com/
X-Frame-Options配置漏洞修复参考v1.0.docx
06-03
修复X-Frame-Options配置漏洞主要涉及在服务器配置文件中添加相应的响应头。以下是一些常见服务器的配置方法: - **Apache**:在Apache的`.htaccess`或`<VirtualHost>`、`<Directory>`等配置段中,使用`Header`...
Tomcat 点击劫持:X-Frame-Options Header配置【已解决】
身后是非的博客
03-14 1万+
X-Frame-Options Header配置背景漏洞描述修复和改进建议具体解决办法TomcatApacheNginx自定义过滤器验证 背景 最近就新开发项目进行网络安全监测,检测报告中发现含有点击 劫持:X-Frame-Options Header配置 (低危) Web安全漏洞,下面为具体解决方法 漏洞描述 X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页...
X-Frame-Options(点击劫持) 网页劫持漏洞
隔壁老瓦的专栏
06-28 3681
漏洞描述: 点击劫持(ClickJacking)是一种视觉上的欺骗手段。攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。 HTTP响应头信息中的X-Frame-Options,可以指示浏览器是否应该加载一个iframe中的页面。如果服务器响应头信息中没有X-Frame-Options,则该网站存在ClickJacking攻击风险。网
X-Frame-Options头缺失漏洞修复-esapi.zip
07-17
在网络安全领域,X-Frame-Options头是一种重要的安全机制,用于防止点击劫持(Clickjacking)攻击。点击劫持是黑客通过透明或半透明的iframe层,诱使用户在不知情的情况下执行恶意操作,例如点击按钮、提交表单等。...
安全漏洞 点击劫持:X-Frame-Options配置
qq_37432174的博客
01-06 2255
最近安全检测有遇到点击劫持:X-Frame-Options配置,这个危险漏洞;这让我想起我曾经写过的一篇博客 同源策略 就是利用这个原理的; 同源策略 在不同的URL中,如果协议、域名、端口相同,那么这些URL则为同源,如果协议、域名、端口其中有一项不同,与路径不同无关,则为不同源,不同源的URL发送请求则为跨域请求。在浏览器中跨域采用同源策略,除非JS的这里不谈原理,原理就是利用同源策略机制进...
点击劫持:X-Frame-Options配置,nginx配置X-Frame-Options响应头
weixin_42564514的博客
02-24 5644
nginx配置X-Frame-Options响应头 X-Frame-Options X-Frame-Options 有三个值: DENY 表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。 SAMEORIGIN表示该页面可以在相同域名页面的 frame 中展示。 ALLOW-FROM uri 表示该页面可以在指...
Nginx 配置防护 缓慢的 HTTP拒绝服务攻击+点击劫持:X-Frame-Options配置
tonyhi6的博客
06-07 1161
缓慢的HTTP拒绝服务攻击是一种专门针对于Web的应用层拒绝服务攻击,攻击者操纵网络,对目标Web服务器进行海量HTTP请求攻击,直到服务器带宽被打满,造成了拒绝服务。慢速HTTP拒绝服务攻击经过不断的演变和发展,主要有三种攻击类型,分别是Slow headers、Slow body、Slow read。1 检测到目标主机可能存在缓慢的HTTP拒绝服务攻击。三 点击劫持:X-Frame-Options配置。2 再次测试,服务器查看资源使用情况。1 修改nginx配置文件。二 修改nginx配置
渗透测试成长篇-点击劫持漏洞
m0_51186260的博客
08-26 5141
1.前言 点击劫持就是一种视觉上的欺骗手段,攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户在不知情的情况下点击了透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上,攻击者常常配合社工手段完成攻击。(一般能被劫持就是网站缺少X-FRAME-OPTIONS) ************ 点击劫持一般在渗透测试中比较常见 2.过程 如何测试,有两种方法,今天就讲一种最简单常用的方式(bur.
响应头设置X-Frame-Options
weixin_46356409的博客
01-18 1644
通过设置’X-Frame-Options’响应头,可以防止网页被嵌入到其他网站中,从而提高网站的安全性。网站容易受到点击劫持攻击:如果没有设置’X-Frame-Options’,攻击者可以在其他网站中嵌入恶意代码,诱使用户在不知情的情况下点击网页上的按钮或链接,从而执行恶意操作。网站可能无法在iframe中正常显示:如果没有设置’X-Frame-Options’,浏览器可能会阻止网页被嵌入到其他网站中,导致网页无法在iframe中正常显示。
低危漏洞:X-Frame-Options Header配置
daisy_sura的博客
01-23 1万+
漏洞描述 X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 &lt;frame&gt;,&lt;iframe&gt; 或者 &lt;object&gt;中展现的标记。配置X-Frame-Options的网站,可能有被点击劫持风险(内容被嵌到别人的网站中去,并在上面加一个透明层,诱导用户点击) X-Frame-Options可选的参数值有三种: DENY S...
解决X-Frame-Options Header配置漏洞
08-27
要解决X-Frame-Options Header配置漏洞,您可以采取以下步骤: 1. 确定问题:首先,您需要确认您的应用程序是否存在X-Frame-Options Header配置漏洞。您可以使用浏览器开发者工具(如Chrome DevTools)来检查HTTP响应标头中是否包含X-Frame-Options字段。 2. 配置X-Frame-Options头:为了防止点击劫持攻击,您应该在HTTP响应中添加X-Frame-Options标头,并设置其值为"sameorigin"、"deny"或"allow-from uri"。具体选择哪个选项取决于您的应用程序需求。 - "sameorigin":该选项允许从相同源(同一域名和端口)加载页面。 - "deny":该选项禁止在任何情况下通过iframe加载页面。 - "allow-from uri":该选项允许从特定的URI加载页面。 3. 配置X-Frame-Options头的位置:您可以在Web服务器配置文件中或应用程序的代码中添加X-Frame-Options头。确保将其添加到所有响应中,包括HTML页面、脚本文件、样式表等。 4. 测试修复效果:在应用程序中进行全面测试以确保X-Frame-Options头已正确配置并能够防止点击劫持攻击。使用不同的浏览器和设备进行测试,并尝试加载应用程序页面到一个空的iframe中,以确保防护机制生效。 请注意,以上仅为一般性建议。具体的解决方法可能因您使用的技术栈和框架而有所不同。建议参考您所使用的平台的文档和安全最佳实践来解决该问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值