web漏洞-点击劫持:X-Frame-Options未设置-低危

最新推荐文章于 2023-10-12 08:47:39 发布
VIP文章 最新推荐文章于 2023-10-12 08:47:39 发布
阅读量2.6k 收藏 5
点赞数
分类专栏: 复现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Amdy_amdy/article/details/97375820
版权

漏洞描述:

点击劫持(ClickJacking)是一种视觉上的欺骗手段。攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。

HTTP 响应头信息中的X-Frame-Options,可以指示浏览器是否应该加载一个 iframe 中的页面。如果服务器响应头信息中没有X-Frame-Options,则该网站存在ClickJacking攻击风险。网站可以通过设置 X-Frame-Options 阻止站点内的页面被其他页面嵌入从而防止点击劫持。

解决办法:

1、修改web服务器配置,添加X-Frame-Options响应头。

赋值有如下三种: 

DENY:不能被嵌入到任何iframe或者frame中。

SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中。 

ALLOW-FROM uri:只能被嵌入到指定域名的框架中。

IIS:

  • 配置 IIS 发送 X-Frame-Options 响应头,添加下面的配置到 Web.config 文件中:

<system.webServer>

...


<httpProtocol>

<customHeaders>

<add name="X-Frame-Options" value="SAMEORIGIN" />

</customHeaders>

</httpProtoco
最低0.47元/天 解锁文章
cacheyu
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
X-Frame-Options配置漏洞修复参考v1.0.docx
06-03
X-Frame-Options HTTP响应头是用来确认是否浏览器可以在frame或iframe标签中渲染一个页面,网站可以用这个头来保证他们的内容不会被嵌入到其它网站中,以来避免点击劫持。 恶意攻击者可以利用漏洞攻击做到: 击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击iframe页面的一些功能性按钮上,导致被劫持
X-Frame-Options相关文件
08-27
点击劫持:X-Frame-Options头缺失 in a frame because it set 'X-Frame-Options' to 'deny'
X-Frame-Options配置
热门推荐
-JackoChan
08-23 2万+
因为最近项目需要接入数据统计,其中一项功能需要开启iframe形式来加载页面,所以就开始研究一下iframe如何配置~~~ X-Frame-Options: 他的值有三个: (1)DENY (2)SAMEORIGIN (3)ALLOW-FROM https://example.com/
点击劫持:X-Frame-Options 配置
yy
10-12 1620
Clickjacking(点击劫持)是一种安全漏洞,通常出现在网站配置适当的安全标头时,该漏洞由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼在2008年提出的。当网站配置X-Frame-Options头时,它可能受到点击劫持攻击的威胁。这意味着攻击者可以在其恶意网站中将目标网站嵌套到iframe中,并引导用户执行经授权的操作,使用户不知情地与目标网站互动。
点击劫持漏洞:使用X-Frame-Options 解决方法(应用tomcat)
huangbaokang的博客
02-14 3085
发现项目中存在 X-Frame-Options 低危漏洞: 使用 X-Frame-Options X-Frame-Options 有三个值: DENY:表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。 SAMEORIGIN:表示该页面可以在相同域名页面的 frame 中展示。 ALLOW-FROM uri:表示该页面可以在指定来源的 frame 中展示。 换一句话说,...
Nginx常见漏洞处理
a630192144的博客
08-25 2624
为了方便的获得网站域名,开发人员一般依赖于HTTP Host header。例如,在php里用_SERVER[“HTTP_HOST”]。但是这个header是不可信赖的,如果应用程序没有对host header值进行处理,就有可能造成恶意代码的传入。
渗透测试成长篇-点击劫持漏洞
m0_51186260的博客
08-26 4441
1.前言 点击劫持就是一种视觉上的欺骗手段,攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户在不知情的情况下点击了透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上,攻击者常常配合社工手段完成攻击。(一般能被劫持就是网站缺少X-FRAME-OPTIONS) ************ 点击劫持一般在渗透测试中比较常见 2.过程 如何测试,有两种方法,今天就讲一种最简单常用的方式(bur.
点击劫持:X-Frame-Options配置
yztezhl的专栏
12-12 2260
X-Frame-Options配置 可以配置的参数有三个: 1.DENY:浏览器拒绝当前页面加载任何Frame页面。 2.SAMEORIGIN:页面只能加载入同源域名下的页面。 3.ALLOW-FROM uri:只能被嵌入到指定域名的框架中。 一般选第二个参数就可以了。 方式一:每个页面添加设置: <% response.addHeader("x-frame-options","SAM...
安全漏洞 点击劫持:X-Frame-Options配置
qq_37432174的博客
01-06 2038
最近安全检测有遇到点击劫持:X-Frame-Options配置,这个危险漏洞;这让我想起我曾经写过的一篇博客 同源策略 就是利用这个原理的; 同源策略 在不同的URL中,如果协议、域名、端口相同,那么这些URL则为同源,如果协议、域名、端口其中有一项不同,与路径不同无关,则为不同源,不同源的URL发送请求则为跨域请求。在浏览器中跨域采用同源策略,除非JS的这里不谈原理,原理就是利用同源策略机制进...
X-Frame-Options响应头防点击劫持
道阻且长,行则将至。
02-21 4049
在一些漏扫设备中经常会扫出一个低风险问题——“点击劫持:X-Frame-Options 配置”,如下为绿盟科技 RSAS 扫描器的漏扫报告:APPScan 也会扫出该漏洞:本文将对该漏洞的危害、利用方式和防护手段进行介绍。
Tomcat 点击劫持:X-Frame-Options Header配置【已解决】
小小关的博客
06-30 1128
https://blog.csdn.net/ylf20131001/article/details/88550243?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522165655115016781432930120%2522%252C%2522scm%2522%253A%252220140713.130102334..%2522%257D&request_id=165655115016781432930120&biz_id=0&utm_medi
X-Frame-Options设置 防止网页被iframe内框架调用
01-20
描述: 目标服务器没有返回一个X-Frame-Options头。 X-Frame-Options HTTP响应头是用来确认是否浏览器可以在frame或iframe标签中渲染一个页面,网站可以用这个头...修改web服务器配置,添加X-frame-options响应头。赋值
iis、apache、nginx使用X-Frame-Options防止网页被Frame的解决方法
09-30
X-Frame-Options HTTP响应头是用来确认是否浏览器可以在frame或iframe标签中渲染一个页面,网站可以用这个头来保证他们的内容不会被嵌入到其它网站中,以来避免点击劫持
CVE-2020-14368:Eclipse CHE的交互式RCE漏洞演示
05-15
CSWSH-THEIA-CVE-2020-14368 报告目标:可在che.openshift.io上获得Eclipse CHE部署漏洞类型:跨站点Websocket劫持发现日期:2020-04-08 作者:Robin Duda(codingchili @ github)概括Eclipse CHE adn Theia中的/ ...
关于Nginx的漏洞扫描修复的解决方案
王木头的博客
09-21 2540
web相关漏洞修复
IIS环境检测到网站存在响应头X-XSS-Protection\X-Frame-Options\X-Content-Type-Options漏洞解决办法
Zola的博客
06-01 1497
4、检测到目标X-Permitted-Cross-Domain-Policies响应头缺失 重新配置IIS。5、检测到目标Strict-Transport-Security响应头缺失 重新配置IIS。3、检测到目标Content-Security-Policy响应头缺失 IIS设置。1、检测到目标X-Content-Type-Options响应头缺失。6、点击劫持:X-Frame-Options配置 重新配置IIS。2、检测到目标X-XSS-Protection响应头缺失。
点击劫持:X-Frame-Options正确配置
linhl_sdysit的博客
12-17 1229
X-Frame-Options正确配置 描述 点击劫持,clickjacking,也被称为UI-覆盖攻击,是一种视觉上的欺骗手段。攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在该页面上进行操作,此时用户将在不知情的情况下点击透明的iframe页面,执行攻击者预先设定的操作,达到劫持用户操作目的 分析 方案 HTTP协议中定义了响应头X-Frame-Options,该响应头表示是否可以加载一个iframe 中的页面。如果服务器响应头信息中 没有X-Frame-Options或者配置为X-
测试(绿盟)
weixin_43114209的博客
08-16 2532
测试(绿盟) 绿盟科技漏洞报告,IIS 修复 web.config 配置 <?xml version="1.0" encoding="UTF-8"?> <configuration> <system.webServer> <security> <requestFiltering> <requestLimits> &lt
低危漏洞:X-Frame-Options Header配置
daisy_sura的博客
01-23 1万+
漏洞描述 X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 &lt;frame&gt;,&lt;iframe&gt; 或者 &lt;object&gt;中展现的标记。配置X-Frame-Options的网站,可能有被点击劫持风险(内容被嵌到别人的网站中去,并在上面加一个透明层,诱导用户点击) X-Frame-Options可选的参数值有三种: DENY S...
X-Frame-Options: DENY X-Content-Type-Options: nosniff
最新发布
12-14
如果设置X-Frame-Options为DENY,则页面不能被嵌入到任何iframeframe中,这样可以防止点击劫持攻击。如果设置X-Content-Type-Options为nosniff,则浏览器将不会执行响应中的脚本,这样可以防止MIME类型混淆攻击。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值