点击劫持解决方法

最新推荐文章于 2024-04-28 21:30:00 发布
最新推荐文章于 2024-04-28 21:30:00 发布
阅读量3k 收藏 3
点赞数 1
分类专栏: web系统 文章标签: 点击劫持 ClickjackFilter X-Frame-Options

系统渗透测试报告了一个安全问题,低风险:

     服务器数据包中没有设置X-Frame-Options等标识,这会可能导致网站发生点击劫持漏洞,威胁用户信息安全。

需添加X-Frame-Options响应头。这是一个下载SAPI (The OWASP Enterprise Security API)包解决的简单方法:

1、esapi-2.1.0.1.jar,下载地址:https://www.owasp.org。

                                    https://download.csdn.net/download/chengcm/11072723

2、将esapi-2.1.0.1.jar放到web应用的lib目录下;

3、在web.xml中增加ClickjackFilter过滤器的设置,

<filter>

    <filter-name>ClickjackFilterDeny</filter-name>

    <filter-class>org.owasp.esapi.filters.ClickjackFilter</filter-class>

    <init-param>

        <param-name>mode</param-name>

        <param-value>SAMEORIGIN</param-value>

    </init-param>

</filter>

<filter-mapping>

    <filter-name>ClickjackFilterDeny</filter-name>

    <url-pattern>/*</url-pattern>

</filter-mapping>

4、重启服务器,应该就可以了。也可以设置成 "DENY"

chengcm
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Tomcat本地部署项目时出现ClickjackFilterDeny问题
poleanNa的博客
01-19 733
现象: 信息: Deploying web application directory C:\software\apache-tomcat-7.0.29\webapps\ROOT 一月 19, 2020 9:29:29 上午 org.apache.catalina.core.StandardContext filterStart 严重: Exception starting filter Cl...
esapi-2.1.0.1.jar,OWASP的安全包包括ClickjackFilter点击劫持
03-29
OWASP的安全包,包括ClickjackFilter解决点击劫持,可以设置 X-Frame-Options 。只用了这,其它就不懂了。
Web 安全之点击劫持Clickjacking)攻击详解_点击劫持攻击
最新发布
2401_84578953的博客
04-28 1204
点击劫持Clickjacking)攻击,又称为界面伪装攻击,是一种利用视觉欺骗手段进行攻击的方式。攻击者通过技术手段欺骗用户点击本没有打算点击的位置,当用户在被攻击者攻击的页面上进行操作时,实际点击结果被劫持,从而被攻击者利用。这种攻击方式利用了用户对网站的信任,通过覆盖层(通常是透明的iframe)覆盖在另一个网页之上,使受害者无法察觉。
tomcat漏洞修改
qq_35830057的博客
12-21 314
1、删除webapps目录中的docs、examples、host-manager、manager等正式环境用不着的目录,这一步就可以解决大部分漏洞   2、去掉webapps\ROOT中不需要目录和文件   3、解决掉“Slow HTTP Denial of Service Attack“漏洞   Slow HTTP Denial of Service Attack漏洞是利用HTTP PO...
web安全的常见问题分析之点击劫持
浮生离梦的博客
09-29 960
一、点击劫持 1. 点击劫持 1)点击劫持是指在一个Web页面中隐藏了一个透明的iframe,用外层假页面诱导用户点击,实际上是在隐藏的frame上触发了点击事件进行一些用户不知情的操作 2. 典型点击劫持攻击流程 1)攻击者构建了一个非常有吸引力的网页 2)将被攻击的页面放置在当前页面的 iframe 中 3)使用样式将 iframe 叠加到非常有吸引力内容的上方 4)将iframe设置为100...
漏洞解决方案-点击劫持
smart的博客
09-14 4719
漏洞解决方案-点击劫持前置知识修复方案代码参考 前置知识        点击劫持clickjacking,也被称为UI-覆盖攻击。这个词首次出现在2008年,是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼首创的。        它是通过覆盖不可见的框架误导受害者点击。        虽然受害者
点击劫持概念及解决办法
xswlw_guoquanbao的博客
09-14 898
点击劫持 (Clickjacking) 技术又称为界面伪装攻击 (UI redress attack ),是一种视觉上的欺骗手段。攻击者使用一个或多个透明的 iframe 覆盖在一个正常的网页上,然后诱使用户在该网页上进行操作,当用户在不知情的情况下点击透明的 iframe 页面时,用户的操作已经被劫持到攻击者事先设计好的恶意按钮或链接上。攻击者既可以通过点击劫持设计一个独立的恶意网站,执行钓鱼攻击等;也可以与 XSS 和 CSRF 攻击相结合,突破传统的防御措施,提升漏洞的危害程度。
点击劫持页面.rar
05-28
这个"点击劫持页面.rar"文件提供了一个静态页面示例,用于演示这种攻击方式,帮助我们理解和防范点击劫持。 首先,我们需要理解点击劫持的工作原理。攻击者通常会创建一个包含恶意iframe的网页,这个iframe的源URL...
浏览器被劫持解决方案.rar
10-29
针对"浏览器被劫持解决方案",我们有以下步骤可以尝试: 1. **检查浏览器设置**:确保浏览器的主页未被非法更改,检查默认搜索引擎是否正常。在浏览器的设置或选项菜单中进行调整,恢复到信任的设置。 2. **卸载...
DNS被劫持解决方法.docx
12-15
DNS被劫持解决方法 DNS(Domain Name System,域名系统)是互联网上的一个核心系统,负责将域名转换为IP地址,以便用户能够访问网站。然而,在internet上存在一种威胁,即DNS劫持(DNS Hijacking)。DNS劫持是指...
路由器DNS被劫持怎么办 路由器DNS被劫持解决方法【详解】.docx
11-24
路由器DNS被劫持解决方法详解 路由器DNS被劫持是指路由器DNS地址遭到篡改,无论你是登录百度、某宝,网页都会跳转到某些固定的网页上。这是一种极其危险的网络安全威胁,因为它可能会造成衔接这个路由器上网的全部...
esapi-2.1.0.1.zip(esapi-2.1.0.1.jar
12-24
esapi-2.1.0.1.zip(esapi-2.1.0.1.jar
esapi-2.1.0.1_esapi-2.1.0.1_
10-02
提供ESAPI jar下载 esapi-2.1.0.1.jar
esapi jar
10-25
使用esapi进行Web应用程序安全控制组件,可以帮助编程人员开发低风险应用程序。
clickjack:一个检查子域是否有点击劫持攻击的简单工具
03-30
点击劫持测试仪 旨在检查网站是否容易受到点击劫持的python脚本,并将结果保存到Vulnerable.txt文件中。 用法 python3 clickjack.py <file> 例子 输入 python3 clickjack.py sites.txt sites.txt www.bugcrowd.com www.srsecure.xyz www.developer.pubg.com 输出 [-] www.bugcrowd.com is not Vulnerable [+] www.srsecure.xyz is Vulnerable [+] www.developer.pubg.com is Vulnerable
tomcat的jar
07-28
tomcat中的jar,缺少了就会报错。tomcat中的jar,缺少了就会报错。
不容小视的漏洞——ClickJacking
追风筝的孩子
08-24 3666
 除了XSS和CSRF之外,还有一个被称为ClickJacking的web安全漏洞常常被大家遗忘,但绝对不能忽略。 是一种视觉欺骗手段,在web端就是iframe嵌套一个透明不可见的页面,让用户在不知情的情况下,点击攻击者想要欺骗用户点击的位置。 由于点击劫持的出现,便出现了反frame嵌套的方式,因为点击劫持需要iframe嵌套页面来攻击。 解决方法:配置过滤器   首先,将Clickj...
点击劫持:X-Frame-Options头缺失 in a frame because it set 'X-Frame-Options' to 'deny'
热门推荐
元宇宙1314
08-27 4万+
最近在一个扯蛋的项目中遇到一堆渗透测试的问题。其中有一个“X-Frame-Options漏洞”问题。我抓耳挠腮的一度不知道怎么解决,最后在我的不屑坚持下.......嘻嘻。愿遇到该BUG的人都能处理掉。我们先看看渗透报告中的东西,以失败而告终。 广告:由于我的博文《docker实现离线地图server》怎么写都搜不到,所以请原谅我这样无耻的推广~~:https://blog.csdn...
SSL配置 openssl漏洞修复整改建议
刘清白的博客
11-14 4857
注:内容摘抄于一个扫描报告 附:apache的ssl配置 LoadModule ssl_module modules/mod_ssl.so Listen 443 NameVirtualHost *:443 SSLPassPhraseDialog builtin SSLSessionCache shmcb:/var/cache/mod_ssl/scache(512000) S...
hao123劫持chrome
09-23
如果你遇到了这个问题,可以尝试以下解决方法: 1. 检查浏览器的快捷方式是否被修改:右键点击浏览器的桌面快捷方式,选择“属性”,在“目标”字段中查看是否添加了奇怪的网址。如果有,请删除该网址并保存。 2. ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值