本文介绍了跨框架脚本(XFS)漏洞,该漏洞可能导致点击劫持、社会工程等攻击。攻击者利用X-Frame-Options响应头的缺失,在iframe中加载易受攻击的应用。解决方案包括设置X-Frame-Options头以限制页面加载,并使用客户端JavaScript防止点击劫持。
跨框架脚本(XFS)漏洞使攻击者能够在恶意页面的 HTML iframe 标记内加载易受攻击的应用程序。攻击者可以使用此漏洞设计点击劫持攻击,以实施钓鱼式攻击、框架探查攻击、社会工程攻击或跨站点请求伪造攻击。
点击劫持攻击的目的是欺骗受害用户在不了解的目标网站上与攻击者选择的 UI 元素交互,然后反过来代表受害者执行特权功能。为达到这一目的,攻击者必须攻击 XFS 漏洞以在 iframe 标记内加载攻击目标,使用层叠样式表(CSS)隐藏该攻击目标并在恶意页面上叠加钓鱼内容。通过将 UI 元素置于钓鱼页面上以与攻击中针对的页面上的 UI 元素叠加,攻击者可以确保受害者不得不与其不可见的目标页面上的 UI 元素交互。
跨框架脚本漏洞使攻击者能够在 iframe 内嵌入易受攻击的应用程序。攻击此漏洞可能会导致:劫持用户事件,如击键。窃取敏感信息。通过结合使用跨站点请求伪造攻击执行特权功能。
漏洞描述: 弱点描述: X-Frame-Options HTTP响应头可以指示浏览器是否允许当前网页在“frame”或“iframe”标签中显示,以此 使网站内容不被其他站点引用和免于点击劫持攻击。
修复和改进建议: 一般性的建议: 给您的网站添加X-Frame-Options响应头,赋值有如下三种,1、DENY:无论如何不在框架中显示;2、SAMEORIGIN: 仅在同源域名下的框架中显示;3、ALLOW-FROM uri:仅在指定域名下的框架中显示。如Apache修改配置文件 添加“Header always append X-Frame-Options SAMEORIGIN”;Nginx修改配置文件“add_header X-Frame-Options SAMEORIGIN;”。
解决方案:
1.配置 IIS 发送 X-Frame-Options 响应头,添加下面的配置到 Web.confi
最低0.47元/天 解锁文章
扫一扫
1086
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
