漏洞解决方案-点击劫持

最新推荐文章于 2024-07-11 16:00:34 发布
最新推荐文章于 2024-07-11 16:00:34 发布
阅读量4.9k 收藏 2
点赞数 2
分类专栏: 安全 文章标签: 漏洞解决方案 安全漏洞 点击劫持
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baidu_35488871/article/details/108572290
版权

漏洞解决方案-点击劫持

前置知识

       点击劫持,clickjacking,也被称为UI-覆盖攻击。这个词首次出现在2008年,是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼首创的。

       它是通过覆盖不可见的框架误导受害者点击。

       虽然受害者点击的是他所看到的网页,但其实他所点击的是被黑客精心构建的另一个置于原网页上面的透明页面。

       这种攻击利用了HTML中<iframe>标签的透明属性。

       就像一张图片上面铺了一层透明的纸一样,你看到的是黑客的页面,但是其实这个页面只是在底部,而你真正点击的是被黑客透明化的另一个网页。一个简单的点击劫持例子,就是当你点击了一个不明链接之后,自动关注了某一个人的博客或者订阅了视频。

修复方案

  1. X-FRAME-OPTIONS(修改中间件配置)
           X-FRAME-OPTIONS是微软提出的一个http头,专门用来防御利用iframe嵌套的点击劫持攻击。
           并且在IE8、Firefox3.6、Chrome4以上的版本均能很好的支持。
    这个头有三个值:
DENY               // 拒绝任何域加载  
SAMEORIGIN         // 允许同源域下加载  
ALLOW-FROM         // 可以定义允许frame加载的页面地址

       php中设置示例:

header ( "X-FRAME-OPTIONS:DENY");
  1. 增加js的防御(代码层面的防御)

代码参考

安全开发实例:

<head>
<style> body { display : none;} </style>
</head>
<body>
<script>
if (self == top) {
    var theBody = document.getElementsByTagName('body')[0];
    theBody.style.display = "block";
} else {
    top.location = self.location;
}
</script>

关注公众号,一起分享实用安全技术,关注安全最新事件,记录工作常见问题,吐槽生活真心操蛋。
在这里插入图片描述

rel~smart
关注
专栏目录
X-Frame-Options(点击劫持) 网页劫持漏洞
隔壁老瓦的专栏
06-28 3683
漏洞描述: 点击劫持(ClickJacking)是一种视觉上的欺骗手段。攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。 HTTP响应头信息中的X-Frame-Options,可以指示浏览器是否应该加载一个iframe中的页面。如果服务器响应头信息中没有X-Frame-Options,则该网站存在ClickJacking攻击风险。网
WEB应用程序点击劫持漏洞研究及防御方法
12-11
web程序劫持漏洞及防御的方法。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。
点击劫持解决方法
chengcm的专栏
03-29 3062
系统渗透测试报告了一个安全问题,低风险: 服务器数据包中没有设置X-Frame-Options等标识,这会可能导致网站发生点击劫持漏洞,威胁用户信息安全。 需添加X-Frame-Options响应头。这是一个下载SAPI (The OWASP Enterprise Security API)包解决的简单方法: 1、esapi-2.1.0.1.jar,下载地址:https://www...
低危漏洞修复——点击劫持X-Frame-Options响应头缺失
最新发布
后端开发
07-11 1080
X-Frame-Options响应头缺失,导致攻击者使用一个或多个透明的iframe覆盖在正常网页上,诱使用户在网页上进行操作,当用户在不知情的情况下点击透明的iframe页面时,用户的操作已被劫持到攻击者事先设计的恶意按钮或链接上。
点击劫持漏洞修复
YXWik的博客
05-21 1583
点击劫持是一种视觉上的欺骗手段,攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户在不知情的情况下点击了透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上,攻击者常常配合社工手段完成攻击。 解决方案: 在nginx配置中的location 下添加 add_header X-Frame-Options SAMEORIGIN; ...
点击劫持概念及解决办法
xswlw_guoquanbao的博客
09-14 977
点击劫持 (Clickjacking) 技术又称为界面伪装攻击 (UI redress attack ),是一种视觉上的欺骗手段。攻击者使用一个或多个透明的 iframe 覆盖在一个正常的网页上,然后诱使用户在该网页上进行操作,当用户在不知情的情况下点击透明的 iframe 页面时,用户的操作已经被劫持到攻击者事先设计好的恶意按钮或链接上。攻击者既可以通过点击劫持设计一个独立的恶意网站,执行钓鱼攻击等;也可以与 XSS 和 CSRF 攻击相结合,突破传统的防御措施,提升漏洞的危害程度。
点击劫持漏洞修复(前端、后端)
weixin_42787408的博客
09-30 2366
点击劫持是一种视觉上的欺骗手段,攻击者通过使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在该页面上进行操作。
云时代下网络安全解决方案-converted.pptx
05-20
### 云时代下的网络安全解决方案 #### 一、云环境安全风险和挑战 在云计算日益普及的今天,企业和组织越来越依赖于云端服务来处理其日常业务和技术需求。然而,随着云计算技术的发展,其所面临的各种安全风险也随...
Web系统常见安全漏洞介绍及解决方案-XSS攻击
web15286201346的博客
07-31 1785
跨站脚本攻击(CrossSiteScript),为了和众所周知的样式表CSS进行区分,它在安全领域简称XSS。xss攻击是由于Web应用程序对用户的输入过滤不足而产生的。攻击者利用网站漏洞把恶意的脚本代码注入到网页之中,当其他用户浏览这些网页时,就会执行其中的恶意代码,对受害用户可能采取Cookie资料窃取、会话劫持、钓鱼欺骗等各种攻击。在一开始,这种攻击的案例通常是跨域的,所以叫做跨站脚本攻击。之后得到的提示信息。在CSDN的搜索框随意输入了xss根据效果的不同可以分为以下几类反射型XSS。...
Web系统常见安全漏洞介绍及解决方案-sql注入
web15286201346的博客
07-31 929
使用ORM框架对sql注入是有积极意义的,在实际解决SQL注入时,还有一个难点就是应用复杂后,代码数量庞大,难以把可能存在sql注入的地方不遗漏的找出来,而ORM框架为我们发现问题提供了一个便捷的途径。这个探测方法有若干变体,例如,发送';例如,如果应用程序根据用户的输入(如用户名和密码)来查询用户帐户的数据库表,以认证用户,而攻击者能够将恶意数据注入查询的用户名部分(和/或密码部分),查询便可能更改成完全不同的数据复制查询,可能是修改数据库的查询,或在数据库服务器上运行Shell命令的查询。...
点击劫持漏洞案例ppt
01-02
点击劫持---clickjacking
【Web安全】点击劫持漏洞
做自己喜欢的事,并将其发挥到极致!
11-25 1350
本篇文章主要介绍点击劫持漏洞原理、危害以及验证方式,切勿将文中攻击手法用于非授权下渗透攻击行为!!!点击劫持(Click Jacking),是一种视觉上的欺骗手段,也被称为UI-覆盖攻击。攻击者通过使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在该页面上进行操作,通过调整iframe页面的位置,可以使得伪造的页面恰好和iframe里受害页面里的一些功能重合(点击按钮或活动选项),以达到窃取用户信息或者劫持用户操作的目的。
点击劫持漏洞原理和复现
weixin_54438700的博客
05-20 3998
一、漏洞原理 点击劫持(Clickbandit),主要是利用HTML中iframe便签可以透明的属性进行利用攻击,其原理是通过在原本的网页上覆盖透明的框架并使受害者在不知情的情况下进行点击漏洞主要是由于未对referer字段来源进行检验。常常配合csrf和xss。 图中,攻击者在原本网站上覆盖一个透明框架,受害者正常访问网站A,就会点击到这个透明框架B。攻击者常常利用该漏洞诱导受害者点击关键位置进行一些操作,比如转账、购买等危险操作。 二、漏洞复现 1.借助burpsuite工具,选择Clickb
点击劫持防御方案
dengzhasong7076的博客
09-21 690
从Clickjacking攻防文中学习到了很多,但是在业务上解决遇到一点问题。 lemon.i还会使用到lemon.v来实现一些功能,如何在主流浏览器(Firefox、Chrome、Ie、Safari)上达到防御效果? <!DOCTYPE html> <html lang="en"> <head> <title>Clickjack&...
点击劫持漏洞
weixin_34067980的博客
08-05 470
0x01:什么是点击劫持 点击劫持是一种视觉上的欺骗手段,攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户在不知情的情况下点击了透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上,攻击者常常配合社工手段完成攻击。 0x02 漏洞危害 攻击者精心构建的另一个置于原网页上面的...
关于点击劫持和防御
Wang的专栏
06-09 1257
【代码】关于点击劫持和防御。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值