安全测试 之 安全漏洞: ClickHiJacking

最新推荐文章于 2024-06-30 00:00:00 发布
最新推荐文章于 2024-06-30 00:00:00 发布
阅读量406 收藏 5
点赞数 2
分类专栏: 安全测试 文章标签: 安全性测试 ClickHiJacking
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Orange_hhh/article/details/139491128
版权

1. ClickHiJacking 定义

点击劫持(Click Jacking)是一种视觉上的欺骗手段,攻击者通过使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在该页面上进行操作,通过调整iframe页面的位置,可以使得伪造的页面恰好和iframe里受害页面里一些功能重合(按钮),以达到窃取用户信息或者劫持用户操作的目的。

Clickjacking是仅此于XSS和CSRF的前端漏洞,因为需要诱使用户交互,攻击成本高,所以不被重视,但危害不容小觑,攻击效果见案例。

2. 漏洞原理

对于漏洞的防范大部分浏览器支持的防御办法是使用X-Frame-Options头,通常设置为DENY可以很好地防范漏洞,其次SAMEORIGIN可以在某个页面失守时被绕过,ALLOW-FROM uri不被Chrome支持。其次还有CSP头:Content-Security-Policy: frame-ancestors 'self’仅支持FireFox。

也就是说,如果发现系统没有设置上述头,大概率存在ClickJacking漏洞,测试方法很简单,本地构造一个HTML文件,使用iframe包含此页面:
在这里插入图片描述

若返回拒绝请求,则不存在问题,控制台提示已设置X-Frame头故引用网站失败:

在这里插入图片描述

3. 解决办法

首先要明确业务是否真的需要iframe嵌套,如不允许被其它站点嵌套,请在web服务器配置中设置 X-Frame-Options:DENY,如要被嵌套使用,最好只允许 X-Frame-Options:SAMEORIGIN。 推荐使用X-Frame-Options方式修改。若想更好的防御请使用X-Frame-Options和JS防御结合。

Orangejuz
关注
专栏目录
网络安全系列-I: 基本概念之事件型漏洞、通用型漏洞、渗透测试
penriver的博客
03-23 6200
事件型漏洞和通用型漏洞的区别 一句话区别:如果你提交华为官网的漏洞严格意义上是非法的,因为这涉及未授权扫描;但是你针对你自己购买并部署在本地的华为设备或系统做漏洞扫描、渗透测试是没有问题的,因为你攻击的是你自己的资产(虽然它能影响所有用到同类设备的其他企业)。前一种是事件型漏洞,后一种是通用型漏洞。 注意:事件型漏洞是违法的,无论是否进行了攻击,因为这涉及了未受权的扫描及测试
《WEB安全渗透测试》(23):记一次利用SSRF漏洞到提权
午夜安全
04-24 2303
《WEB安全渗透测试》(23):记一次利用SSRF漏洞到提权 1.信息收集 对授权目标进行扫描,发现开启了22和80端口,访问web服务。 发现是开源项目,于是下载源码,希望找到有用的信息。 皇天不负有心人,发现疑似用户登录密码的信息,如下所示: 尝试使用admin/1234登录,发现成功登录,登陆后发现有一个Edit profie和Export profile,Edit profie用于编辑信息,Export profile用于导出数据的pdf格式............
Web安全之点击劫持(ClickJacking)
weixin_33871366的博客
03-06 974
点击劫持(ClickJacking)是一种视觉上的欺骗手段。大概有两种方式,一是攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在该页面上进行操作,此时用户将在不知情的情况下点击透明的iframe页面;二是攻击者使用一张图片覆盖在网页,遮挡网页原有位置的含义; iframe覆盖 直接示例说明 1. 假如我们在百度有个贴吧,想偷偷让别人关注它。于是我们准备一个页面: &l...
“点击劫持”测试Clickjacking Test」-crx插件
03-09
通过Offcon Info Security进行的Clickjacking测试。 此chrome扩展程序将检查是否可以对当前网页进行格式化,甚至生成用于安全报告的概念证明HTML。 支持语言:English
Clickjacking简单介绍
D的专栏
11-07 485
转自:http://drops.wooyun.org/papers/104
点击劫持漏洞
weixin_52501704的博客
02-07 3351
点击劫持漏洞学习
点击劫持
chuxuezheerer的博客
02-01 619
点击劫持
web安全之点击劫持攻击(clickjack)
_Co1a
12-08 1790
点击劫持clickjack 点击劫持 (Clickjacking) 技术又称为界面伪装攻击 (UI redress attack ),是一种视觉上的欺骗手段。攻击者使用一个或多个透明的 iframe 覆盖在一个正常的网页上,然后诱使用户在该网页上进行操作,当用户在不知情的情况下点击透明的 iframe 页面时,用户的操作已经被劫持到攻击者事先设计好的恶意按钮或链接上。攻击者既可以通过点击劫持设计一个独立的恶意网站,执行钓鱼攻击等;也可以与 XSS 和 CSRF 攻击相结合,突破传统的防御措施,提升漏洞的危害
模糊测试 强制发掘安全漏洞的利器
09-09
模糊测试是一种能够降低安全性测试门槛的方法,它通过高度自动化的手段让组织的开发和测试团队都能参与到安全性测试中,并能够通过启发式等方法不断积累安全测试的经验,帮助组织建立更有效的面向安全性的开发流程。
动态应用安全测试 (DAST) 与渗透测试:应用程序安全测试综合指南
最新发布
网络研究观
06-30 2297
本综合指南将探讨 DAST 与渗透测试,包括 DAST 扫描与渗透测试以及 SAST、DAST 和渗透测试之间的关系。
Web安全第三次实验(CSRF,XSS,点击劫持).rar
12-26
文件中包含myzoo,csrf.html,xss.txt,hijack.html.其中myzoo是测试网站,csrf需要在测试网站中的profile中设置超链接,xss攻击则直接可以将xss.txt内容复制到profile中,点击劫持也是需要设置超链接。
clickjack:一个检查子域是否有点击劫持攻击的简单工具
03-30
点击劫持测试仪 旨在检查网站是否容易受到点击劫持的python脚本,并将结果保存到Vulnerable.txt文件中。 用法 python3 clickjack.py <file> 例子 输入 python3 clickjack.py sites.txt sites.txt www.bugcrowd.com www.srsecure.xyz www.developer.pubg.com 输出 [-] www.bugcrowd.com is not Vulnerable [+] www.srsecure.xyz is Vulnerable [+] www.developer.pubg.com is Vulnerable
Web安全漏洞扫描工具-AWVS14
07-05
AWVS14,Acunetix Web Vulnerability Scanner(简称AWVS)是一款知名的网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞。WVS可以检查SQL注入漏洞,也可以检查跨站脚本攻击漏洞,可以扫描任何...
web安全-点击劫持
daxiangya6845的博客
10-25 84
web安全-点击劫持 opacity=0 iframe是目标网站 被内嵌了 1.用户亲手操作 盗取用户 视频 2.用户不知情 >* 引导点击 其实点击的是覆盖在下面opacity=0的iframe 3.code <body style="background: url(clickhijack.png) no-repeat"> <iframe src="ht...
《WEB安全渗透测试》(35) 使用Burp Clickbandit测试点击劫持
午夜安全
02-08 2279
点击劫持指的是,通过覆盖不可见的框架误导受害者点击,虽然受害者点击的是他所看到的网页,但其实他所点击的是被黑客精心构建的另一个置于原网页上面的透明页面。Burp Clickbandit 是用于生成点击劫持攻击的工具,当发现可能容易受到点击劫持的网页时,可以使用 Burp Clickbandit 发起攻击,并确认可以成功利用此漏洞。Burp Clickbandit 使用 JavaScript 在你的浏览器中运行,它适用于除 Microsoft IE 和 Edge 之外的所有现代浏览器。
web安全——ClickJacking
Venscor技术养成之路
11-05 967
本篇主要是对自己学习web安全的过程总结,多数是看书和查资料所得,包含一些自己看书时疑惑的记录与思考,无干货。多数来自《白帽子讲web安全》一书,对于里面的思考,博客中以红色字体标出。注:博客中一些示图源自《白帽子讲web安全》一书。一、ClickJacking含义与危害1. 概述  ClickJacking,即点击劫持。通过对用户在视觉上的欺骗完成攻击,主要有CSS控制攻击向量。通过把被攻击网站(
【burpsuite安全练兵场-客户端14】点击劫持-5个实验(全)
wangluoanquan111的博客
01-26 1906
blog.csdnimg.cn/3e1c80dc452343c9b3e29c5030fa90b1.png)博主:网络安全领域狂热爱好者(承诺在CSDN永久无偿分享文章)。!blog.csdnimg.cn/3e1c80dc452343c9b3e29c5030fa90b1.png)殊荣:CSDN网络安全领域优质创作者,2022年双十一业务安全保卫战-
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值