点击劫持和防御

最新推荐文章于 2024-07-16 10:30:27 发布
最新推荐文章于 2024-07-16 10:30:27 发布
阅读量2.1k 收藏 1
点赞数
分类专栏: javascript 服务器 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/THEANARKH/article/details/53599371
版权

原页面source.php

<?php
 //header('X-Frame-Options:DENY'); 
 ?>
<!DOCTYPE html>
<html>
<head>
    <title></title>
    <style type="text/css">
        html,body{
            margin: 0px;
            padding: 0px;
        }
    </style>
</head>
<body>
<script type="text/javascript">
    //if(parent != self) top.location.href = 'source.php';
</script>
<form action="hij.php">
    <input type="text" name="name">
    <input type="submit" name="">
</form>
</body>
</html>

劫持页面hij.html

<!DOCTYPE html>
<html>
<head>
    <title></title>
    <style type="text/css">
        html,body{
            margin: 0px;
            padding: 0px;
        }
    </style>
</head>
<body>
<iframe src="source.php" style="border:0px solid white"></iframe>
<form action="hij.php" style="position:absolute;top:0px;left:0px;z-index:1">
    <input type="text" name="_name">
    <input type="submit" name="">
</form>
</body>
</html>

收集信息的页面hij.php

<?php
    echo 'hello hijack';
?>

攻击方法:
首先自己写一个页面,接着用iframe引入其他的页面,然后自己利用定位和z-index对原页面进行覆盖和’重绘’,当用户在输入时,以为是正常的页面,其实用户输入是在恶意页面进行的,最后也会提交到恶意者的服务器中。

防御方法:
1利用 header(‘X-Frame-Options:DENY’);
2 if(parent != self) top.location.href = ‘source.php’;这里要用top.location.href,否则会在iframe里不断加载source.php。因为 top.location.href代表的是最高层的window

theanarkh
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WEB应用程序点击劫持漏洞研究及防御方法
12-11
web程序劫持漏洞及防御的方法。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。
关于点击劫持防御
Wang的专栏
06-09 1206
代码】关于点击劫持防御
Web 安全之点击劫持(Clickjacking)攻击详解_点击劫持攻击
最新发布
2401_85773496的博客
07-16 893
点击劫持(Clickjacking)攻击,又称为界面伪装攻击,是一种利用视觉欺骗手段进行攻击的方式。攻击者通过技术手段欺骗用户点击本没有打算点击的位置,当用户在被攻击者攻击的页面上进行操作时,实际点击结果被劫持,从而被攻击者利用。这种攻击方式利用了用户对网站的信任,通过覆盖层(通常是透明的iframe)覆盖在另一个网页之上,使受害者无法察觉。
点击劫持防御方案
dengzhasong7076的博客
09-21 685
从Clickjacking攻防文中学习到了很多,但是在业务上解决遇到一点问题。 lemon.i还会使用到lemon.v来实现一些功能,如何在主流浏览器(Firefox、Chrome、Ie、Safari)上达到防御效果? <!DOCTYPE html> <html lang="en"> <head> <title>Clickjack&...
点击劫持攻击和预防
allway2的博客
09-05 502
当用户认为他们点击了攻击者页面上的按钮时,实际上他们点击了完全不同的网站上的某些内容。是一个小的网络应用程序。攻击者可以做的是创建这样的页面。您可以通过实施带有获取元数据标头的隔离策略来阻止对服务器端帧的请求,从而实现一个很好的附加防御层。在本文中,您将了解点击劫持攻击、它们的工作原理、它们如何使您的网站用户面临风险以及如何防止它。防止点击劫持攻击的唯一方法是阻止其他网站构建您的网站。如果您还想阻止您的网站自行构建框架,请同时阻止所有非指向文档的导航请求。是攻击者页面,它有点不透明,以显示它是如何工作的。
前端的安全防范----点击劫持
包磊磊的博客
01-03 593
涉及面试题:什么是点击劫持?如何防范点击劫持点击劫持是一种视觉欺骗的攻击手段。攻击者将需要攻击的网站通过 iframe 嵌套的方式嵌入自己的网页中,并将 iframe 设置为透明,在页面中透出一个按钮诱导用户点击 对于这种攻击方式,推荐防御的方法有两种 ** X-FRAME-OPTIONS** X-FRAME-OPTIONS 是一个 HTTP 响应头,在现代浏览器有一个很好的支持。这个 HTTP 响应头 就是为了防御用iframe 嵌套的点击劫持攻击。 该响应头有三个值可选,分别是 DENY
点击劫持漏洞案例ppt
01-02
尽管点击劫持被认为是一种较低级别的威胁,但由于许多应用程序并未采取有效的防御措施,因此仍然频繁发生。为了避免此类攻击,开发者应采取以下措施: 1. **设置HTTP响应头**: 在服务器端设置`X-Frame-Options`响应...
点击劫持页面.rar
05-28
为了防止点击劫持,Web开发者可以采用几种防御策略: 1. 使用X-Frame-Options头:这是一个HTTP响应头,可以限制浏览器在什么样的情况下可以将页面加载到iframe中。常见的值有`DENY`(不允许任何站点加载该页面)、`...
DNS欺骗劫持防御策略
10-18
总的来说,DNS欺骗和DNS劫持是严重威胁网络安全的问题,需要从服务器配置、用户端防护以及网络监控等多角度进行综合防御。了解这些攻击方式和防范措施,能帮助我们更好地保护网络资产,避免不必要的损失。
Android系统点击劫持攻防技术研究.pdf
09-21
因此,文章着重研究了几种适用于Android的点击劫持防御措施,包括但不限于: 1. 修改系统权限:限制应用访问敏感UI元素的能力,例如禁止第三方应用获取屏幕截图或在特定视图上创建浮动窗口。 2. 用户界面安全设计:...
Web 安全之点击劫持(Clickjacking)攻击详解
路多辛的所思所想
01-27 2199
点击劫持(Clickjacking)攻击,又称为界面伪装攻击,是一种利用视觉欺骗手段进行攻击的方式。攻击者通过技术手段欺骗用户点击本没有打算点击的位置,当用户在被攻击者攻击的页面上进行操作时,实际点击结果被劫持,从而被攻击者利用。这种攻击方式利用了用户对网站的信任,通过覆盖层(通常是透明的iframe)覆盖在另一个网页之上,使受害者无法察觉。
浅析点击劫持攻击(转载)
bnrmaster的博客
10-28 1286
转载地址:http://www.freebuf.com/articles/web/67843.html 主要是想做下资料记录,其实看过后就知道原理很简单,先感谢下原作者,如果有侵权等行为,请告知,我会立即删除 点击劫持(click jacking)估计搞安全的都对这四个字不陌生,一句话描述这种劫持:利用社工搭配目标站的不安全配置对用户造成危害。这种漏洞目前在国内
Web信息安全5-点击劫持防御
visitor009的博客
07-11 215
原理 攻击者网页中的iframe嵌套着目标网站b, 定位到最前面,并设置透明。 防御 X-Frame-Options: 设置http头,禁止内嵌。 例子 ctx.response.set("X-Frame-Options","sameorigin") 可以在相同域名页面的 frame 中展示 ...
点击劫持解决方法
chengcm的专栏
03-29 3043
系统渗透测试报告了一个安全问题,低风险: 服务器数据包中没有设置X-Frame-Options等标识,这会可能导致网站发生点击劫持漏洞,威胁用户信息安全。 需添加X-Frame-Options响应头。这是一个下载SAPI (The OWASP Enterprise Security API)包解决的简单方法: 1、esapi-2.1.0.1.jar,下载地址:https://www...
网络安全-点击劫持(ClickJacking)的原理、攻击及防御
热门推荐
关注网络安全、云原生安全
08-15 1万+
简介 2008年,安全专家Robert Hansen 与Jeremiah Grossman发现了一种被他们称为点击劫持(Cli)的攻击 原理 攻击 防御
点击劫持
chjunjun的博客
11-04 195
防御点击劫持点击劫持的原理主要是通过在自己的网页通过iframe嵌套别人的网站,而在嵌套的网站上覆盖新的内容设置透明度实现恶意操作。 主要防御可以通过frame-busting,通过JavaScript代码禁止iframe的嵌套,但是存在绕过 还可以在服务端设置X-Frame-Options ...
nginx-安全防护、跨域、XSS攻击、点击劫持攻击
小蜗牛的博客
11-30 1223
nginx-安全防护、跨域、XSS攻击、点击劫持攻击
158.Clickjacking点击劫持攻击实现和防御措施
zjy123078_zjy的博客
02-22 381
clickjacking攻击: clickjacking攻击又称为点击劫持攻击,是一种在网页中将恶意代码等隐藏在看似无害的内容(如按钮)之下,并诱使用户点击的手段。 clickjacking攻击场景: 用户进入到一个网页中,里面包含了一个按钮(查看照片),但是这个按钮上面加载了一个透明的iframe标签,这个iframe标签加载了另外一个网页,并且他将这个网页的某个按钮和网页中的按钮(查看照片)重...
劫持方法
weixin_30505485的博客
11-07 186
在用户通过CDN下载资源过程中,各个阶段都有可能发生劫持,要做好防劫持,必须各个阶段都有所准备,而不仅仅是用户到CDN节点这一段。 对于DNS劫持,比较有效的方式是随机域名和HTTPDNS。 而对于HTTP劫持的话,则可以采用URL加密以及HTTPS来处理。 在线上环境中必须考虑业务的实际需求,综合考量,搭配多种防劫持方式来取得最好的防劫持效果。 原文:http://www...
nginx点击劫持漏洞修复
05-10
点击劫持是一种常见的 Web 安全漏洞,攻击者会将一个网站嵌入到另一个网站中,通过隐藏或者伪装的方式,欺骗用户去点击一个看似无害的链接,从而实现攻击者的恶意目的。nginx 本身并没有针对点击劫持的专门防御机制,但是我们可以通过一些方法来修复这个漏洞: 1. X-Frame-Options 防御点击劫持 在 nginx 的配置文件中,可以通过设置 X-Frame-Options 来防御点击劫持。X-Frame-Options 是一个 HTTP 响应头,可以控制浏览器是否允许当前页面在 iframe 中展示。我们可以将其设置为 DENY,表示当前页面不能在 iframe 中展示,从而防止点击劫持攻击。示例配置如下: ``` add_header X-Frame-Options DENY; ``` 2. JavaScript 防御点击劫持 另外,我们还可以通过 JavaScript 来防御点击劫持。在页面中嵌入一个透明的 iframe,覆盖整个页面,当用户点击页面时,我们可以通过 JavaScript 判断点击事件的坐标是否在 iframe 内,如果是,则说明用户是在被劫持的页面中点击,我们可以将当前页面重定向到其他页面,从而避免被攻击。示例代码如下: ``` if (top != self) { top.location = self.location; } ``` 综上所述,我们可以通过 X-Frame-Options 和 JavaScript 来防御点击劫持漏洞。建议开发人员在开发过程中注意防范这种漏洞,以保障用户的安全。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值