点击劫持之iframe覆盖 学习笔记

最新推荐文章于 2022-03-11 15:12:54 发布
最新推荐文章于 2022-03-11 15:12:54 发布
阅读量1.1k 收藏 1
点赞数 1
分类专栏: Web安全 web前端 文章标签: html5 css html
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Yoo_666/article/details/107575943
版权
文章目录点击劫持分类iframe覆盖原理相关技术运用结合CSRF结合XSS示例代码防御方法X-FRAME-OPTIONS机制使用 FrameBusting 代码使用认证码认证用户点击劫持点击劫持 (Clickjacking) 技术又称为界面伪装攻击 (UI redress attack ),是一种视觉上的欺骗手段分类iframe覆盖图片覆盖iframe覆盖原理攻击者使用一个或多个透明的 iframe 覆盖在一个正常的网页上,然后诱使用户在该网页上进行操作,当用户在不知情的情况下点击
摘要由CSDN通过智能技术生成

文章目录

前言

前几天,一个偶然的机会看到了一个关于点击劫持的技术分享视频,今天通过再次观看和查阅相关资料,学习了该部分的内容。首先在这里也感谢各位分享点击劫持技术的大神

温馨提示:该技术博文仅用于学习和技术分享,不得用于其他非法用途,否则后果自负

点击劫持

  • 点击劫持 (Clickjacking) 技术又称为界面伪装攻击 (UI redress attack ),是一种视觉上的欺骗手段

分类

  • iframe覆盖
  • 图片覆盖

iframe覆盖

原理

  • 攻击者使用一个或多个透明的 iframe 覆盖在一个正常的网页上,然后诱使用户在该网页上进行操作,当用户在不知情的情况下点击透明的 iframe 页面时,用户的操作已经被劫持到攻击者事先设计好的恶意按钮或链接上。攻击者既可以通过点击劫持设计一个独立的恶意网站,执行钓鱼攻击等;也可以与 XSS 和 CSRF 攻击相结合,突破传统的防御措施,提升漏洞的危害程度

相关技术

  • 目标网页隐藏技术
  • 点击操作劫持
  • 拖拽技术

运用

结合CSRF

通过将载入目标网页 iframe 中 token 自动添加到 src 属性后面。使用HTTP 中GET方法的表单会自动完成上述步骤,实现攻击

例:Twitter 蠕虫攻击就是利用点击劫持漏洞来实现CSRF攻击。

结合XSS

通过XSS漏洞弹出弹框,诱导用户点击触发点击劫持,浏览器执行恶意的js代码,故此将会产生极大的危害

示例代码

<!DOCTYPE HTML>
<html>
<meta http-equiv="Content-Type
最低0.47元/天 解锁文章
Yoo_666
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
劫持页面.rar
05-28
劫持(Clickjacking)是一种恶意攻手段,它利用透明或半透明的iframe层来欺骗用户点原本不想点的元素,从而达到攻者的目的。这个"点劫持页面.rar"文件提供了一个静态页面示例,用于演示这种攻方式,...
如何解决 iframe 无法触发 clickOutside
weixin_33985679的博客
07-09 894
前言 在公司的一次小组分享会上,组长给我们分享了一个他在项目中遇到的一个问题。在一个嵌入 iframe 的系统中,当我们点按钮展开 Dropdown 展开后,再去点 iframe 发现无法触发 Dropdown 的 clickOutside 事件,导致 Dropdown 无法关闭。 查看在线示例 为什么无法触发 clickOutside 目前大多数的...
iframe onClick事件不起作用
ZH
12-16 1649
<div style={{position:'relative'}}> <iframe style={{ width: '-webkit-fill-available', height: '-webkit-fill-available' ..
界面存在iframe菜单点事件监听失效的问题
weixin_38832783的博客
12-10 6526
界面存在iframe菜单点事件监听失效的问题 问题描述:如果界面中存在iframe标签,用a标签切换iframe,点事件失效。 1.检查js监听事件是否放在iframe下面,js需提前防止要等iframe加载完再在加载监听定义的事件。 2.检查是否在dom加载,监听事件dom加载时监听。 ...
劫持漏洞案例ppt
01-02
劫持---clickjacking
c语言学习笔记劫持函数劫持函数.docx
03-24
"C语言学习笔记劫持函数" C语言学习笔记劫持函数是关于使用C语言实现函数劫持笔记。函数劫持是指在程序运行时,动态地替换或修改函数的行为,以达到特定的目的。在这个笔记中,我们将使用Detours库来实现函数劫持...
pc样本学习笔记之DLL劫持与启发查杀.docx
最新发布
05-10
pc样本学习笔记之DLL劫持与启发查杀.docx
Webgoat学习笔记.zip
03-12
【WebGoat学习笔记】 WebGoat是一款由OWASP(开放网络应用安全项目)开发的在线教学平台,专门用于教授和实践网络安全中的Web应用程序漏洞。它是一个故意设计有漏洞的Web应用,帮助学习者了解并熟悉各种攻手段,...
载入的iframe页面会挡住父级页面一切冒泡事件,怎么破?
高先生的猫
07-20 925
最近遇到个坑,页面引入了一个iframe,结果页面上所有的点事件都失效了。 解决办法是手动绑定iframe里面事件,在事件里面触发当前窗口事件 // 点了不触发 document.body.addEventListener('click', () => {console.log(43434343)}) // 在iframe里面手动触发 $('#iframe').contentWindow.document.body.addEventListener('click', () => {
vue中iframe的使用导致IOS设备中触发事件无效
weixin_40533586的博客
03-30 2326
vue中iframe的使用导致IOS页面中触发事件无效(移动端) 1、◎◎◎◎◎◎◎◎◎◎ 页面描述 及 示意图 ◎◎◎◎◎◎◎◎◎◎ 页面布局是:标题 和 内容区 标题:返回键是定位的(定不定位与该问题无关紧要) 内容:父容器包含了iframe标签。该iframe是用原生js 动态创建 并追加给了父容器 2、◎◎◎◎◎◎◎◎◎◎ 问题描述 ◎◎◎◎◎◎◎◎◎...
前端html小技巧—如何解决iframe页面锚点失效
yunduanaoligei的博客
01-27 1161
今天分享下”前端html小技巧—如何解决iframe页面锚点失效“这篇文章,文中根据实例编码详细介绍,或许对大家的编程之路有着一定的参考空间与使用价值,需要的朋友接下来跟着云南仟龙Mark一起学习一下吧。 应用场景如下:iframe页面上没有滚动条。如果父窗中出现滚动条,锚点标记将失效,因为锚点将根据当前窗口滚动条滚动窗口。成为子窗后,没有滚动条,自然不会滚动。 解决办法是:用js用j判断页面是否嵌套s计算iframe在父窗体位置,锚点在firame在中间位置,两者结合成父窗滚动。 遇到问题:获取父窗体元素
使用postMessage的踩坑记录,解决postMessage的监听事件多次触发
weixin_43777074的博客
10-30 8953
解决 iframe.postMessage()多次触发请求问题 方法一,将addEventListener改成onmessage window.addEventListener(‘message’, (e) => {})多次调用会多次生成不同的匿名函数e,应指向同一个命名函数 window.addEventListener(‘message’, this.handler.bind(this)),命名函数绑定this后,调用会生成不同的对象 而onmessage则不会 window.onmessage=
通过postMessage在iframe和父窗口之间通信
EmotionComputer
11-23 3377
在 HTML5 中新增了 postMessage 方法,postMessage 可以实现跨文档消息传输(Cross Document Messaging) postMessage(data,origin) data:要传的数据 origin: 字符串参数,指明目标窗口的源,协议+主机+端口号。如果为*则是所有的窗口,如果要指定和当前窗口同源的话设置为"/"。 iframe 向 父窗口通信: //iframe const parent = window.parent; parent.postMessag.
iframe中使用postMessage解决跨域问题
cszzl123的博客
03-11 3879
iframe中使用postMessage解决跨域问题 在iframe中向父页面发送消息时,子页面和父页面的http协议,域名,端口号任意一个不相同时会产生跨域问题,使用postMessage可解决这一问题。 父页面JS代码 window.onload = function() { window.addEventListener('message', function (e) { // 监听 message 事件 console.log(e.data); }); } 子页面JS
vue中使用iframe+postMessage进行跨项目的通信
weixin_44022194的博客
08-14 2980
vue中使用iframe+postMessage进行跨项目的通信 需求说明:遥远世界那头的一个暴发户,不想和我们的系统产生任何关系,又想使用我们的修改密码模块的组件(前提:他本身登录模块的数据库是我们的数据库,所以还好token能通过我们后台的验证),所以只好想到用iframe来实现了。 一、挂载iframe的页面的代码 <template> <div> <div class="content">cisdi</div>
iframe间的跨域通信(添加onmessage 或message事件)
iteye_16362的博客
07-14 3695
1,跨域的一个示例 当你需要操作一个内嵌iframe是,如果这个内嵌iframe和打开的网站不在同一个域中,你时常会遇到这样的报错:   Unsafe JavaScript attempt to access frame with URL http:/www.d1.com from frame with URL http://www.d2.com. Domains, protocols a...
nginx点劫持漏洞修复
05-10
在页面中嵌入一个透明的 iframe覆盖整个页面,当用户点页面时,我们可以通过 JavaScript 判断点事件的坐标是否在 iframe 内,如果是,则说明用户是在被劫持的页面中点,我们可以将当前页面重定向到其他页面...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值